APT28 despliega campaña de phishing sostenida contra usuarios de UKR.net en Ucrania

El grupo de amenazas persistentes avanzadas APT28, también conocido como Fancy Bear y atribuido al servicio de inteligencia militar ruso (GRU), mantiene activa una campaña de phishing dirigida a usuarios del proveedor de correo electrónico ucraniano UKR.net. La operación, detectada desde al menos 2023 y aún en curso, tiene como objetivo el robo sistemático de credenciales para labores de espionaje, vigilancia y desinformación en el contexto del conflicto entre Rusia y Ucrania.

De acuerdo con un informe publicado en diciembre de 2025 por la firma de ciberseguridad Positive Technologies, los atacantes envían correos electrónicos maliciosos que simulan notificaciones legítimas del servicio UKR.net. Los mensajes contienen enlaces a sitios web fraudulentos que replican con alta fidelidad la página oficial de inicio de sesión, permitiendo la captura de nombres de usuario, contraseñas e incluso códigos de autenticación multifactor (MFA).

Los dominios utilizados en la campaña presentan variaciones aparentemente benignas del dominio legítimo, como subdominios de tipo ukr[.]net-support[.]com, alojados en infraestructura vinculada a Rusia. Esta técnica busca reducir la detección tanto por parte de usuarios como de sistemas automatizados de filtrado.

Una operación de largo plazo con técnicas de evasión

Uno de los elementos más relevantes de la campaña es su persistencia y capacidad de adaptación. Los kits de phishing identificados emplean redirecciones dinámicas mediante JavaScript, ofuscación de URLs y lógica condicional para evadir filtros antispam y soluciones de seguridad basadas en firmas. Positive Technologies documentó más de 50 dominios maliciosos activos desde 2023, con incrementos de actividad que coinciden con eventos geopolíticos relevantes, incluidas ofensivas militares ucranianas y anuncios estratégicos.

Según la investigación, las credenciales comprometidas pertenecen a miles de usuarios, entre ellos periodistas, funcionarios públicos, personal de organizaciones civiles y activistas. El acceso a estas cuentas ha permitido a los atacantes obtener información sensible, monitorear comunicaciones privadas y, potencialmente, pivotar hacia redes internas y otros servicios asociados a las cuentas de correo.

Vinculación con campañas históricas de APT28

Analistas de inteligencia de amenazas señalan que la campaña encaja plenamente con el modus operandi histórico de APT28, un grupo responsable de múltiples operaciones de alto perfil, incluyendo el ataque al Comité Nacional Demócrata en 2016 y una larga serie de intrusiones contra entidades gubernamentales y de infraestructura crítica en Ucrania desde 2014.

“Esto no es una campaña oportunista ni de corto plazo; se trata de un esfuerzo sostenido para degradar la resiliencia digital de Ucrania y mantener capacidades de inteligencia activa”, señaló Dmitry Galov, investigador principal de Positive Technologies, en el informe.

Respuesta y recomendaciones de mitigación

UKR.net ha emitido alertas de seguridad a sus usuarios, recomendando verificar cuidadosamente las URLs antes de introducir credenciales, habilitar mecanismos de autenticación multifactor más robustos y reportar correos sospechosos. Por su parte, CERT-UA ha instado a los usuarios potencialmente afectados a cambiar contraseñas de inmediato y revisar accesos recientes a sus cuentas.

Autoridades ucranianas, en coordinación con socios internacionales y aliados de la OTAN, continúan monitoreando la actividad del grupo y compartiendo indicadores de compromiso (IoC) con organizaciones del sector público y privado.

Implicaciones para equipos de TI y seguridad

La campaña vuelve a evidenciar que el phishing de credenciales sigue siendo uno de los vectores iniciales más efectivos en operaciones de ciberespionaje estatal, incluso en entornos con MFA y controles avanzados. Para organizaciones en regiones de alto riesgo, el incidente refuerza la necesidad de combinar concienciación del usuario, detección de phishing basada en comportamiento y análisis automatizado impulsado por inteligencia artificial.

Fuentes: Informe de Positive Technologies (diciembre de 2025), avisos de CERT-UA y análisis OSINT alineados con MITRE ATT&CK (TA0001 – Initial Access, TA1566 – Phishing).