Una sofisticada campaña de phishing de un solo día apuntó a funcionarios del gobierno regional ucraniano y a organizaciones clave en los esfuerzos humanitarios por la guerra en Ucrania, entre ellas el Comité Internacional de la Cruz Roja, UNICEF y varias ONG locales.
El ataque, identificado como “PhantomCaptcha” utilizó una táctica inédita: páginas falsas de verificación “I am not a robot” que pedían a las víctimas ejecutar manualmente comandos maliciosos en sus sistemas, bajo la apariencia de comprobaciones de seguridad de Cloudflare.
Una operación breve, pero cuidadosamente planificada
Según el equipo de investigación SentinelLabs (de SentinelOne), la operación comenzó y finalizó el 8 de octubre, aunque la infraestructura del ataque llevaba meses en preparación: varios dominios utilizados en la campaña fueron registrados desde marzo.
El objetivo era implantar un troyano de acceso remoto (RAT) basado en WebSocket, capaz de ejecutar comandos y exfiltrar datos de los sistemas comprometidos.
De un falso correo de Zoom a una trampa en la consola de Windows
El ataque comenzó con correos electrónicos falsificados que simulaban provenir de la Oficina del Presidente de Ucrania, e incluían archivos PDF con enlaces a un dominio malicioso que imitaba la plataforma de videoconferencias Zoom.
Al abrir el enlace, las víctimas eran recibidas por una pantalla de “verificación del navegador”, similar a las legítimas de Cloudflare, antes de ser redirigidas a una supuesta reunión segura.
Durante este proceso, el servidor del atacante generaba un identificador de cliente (client ID) para establecer una conexión mediante WebSocket. Si el identificador coincidía, el usuario era dirigido a una reunión real protegida con contraseña, posiblemente una fase de ingeniería social en tiempo real.
Si no coincidía, la víctima era llevada a una falsa página CAPTCHA que simulaba un control de seguridad “I am not a robot”, en ucraniano.
El captcha que ejecutaba código malicioso
En esta etapa, se pedía al usuario copiar un “token” y pegarlo en la línea de comandos de Windows (CMD).
Ese simple paso ejecutaba un comando PowerShell que descargaba y ejecutaba un script llamado cptch, el cual recopilaba información del sistema (nombre del equipo, dominio, usuario, UUID y procesos activos) y la enviaba al servidor de comando y control (C2) del atacante.
Posteriormente, se descargaba el payload final: un RAT ligero basado en WebSocket capaz de ejecutar órdenes remotas y exfiltrar información codificada en JSON base64.
Conexiones con ataques pro-rusos y variantes móviles
SentinelLabs detectó que los dominios y servidores utilizados estaban alojados en infraestructura rusa, y que poco después del ataque se observó una campaña relacionada dirigida a usuarios en Lviv (Ucrania).
Esta segunda operación distribuía aplicaciones Android falsas —como apps de contenido adulto o almacenamiento en la nube; que actuaban como spyware, espiando llamadas, ubicación y fotos del dispositivo.
Aunque los investigadores no atribuyeron directamente la operación a un actor específico, los indicadores técnicos y patrones tácticos coinciden con campañas recientes de ColdRiver (también conocido como Star Blizzard, UNC4057 o Callisto), un grupo vinculado al Servicio Federal de Seguridad de Rusia (FSB).
Un informe del Google Threat Intelligence Group (GTIG) publicado un día antes confirmó que ColdRiver ha estado utilizando retos falsos de CAPTCHA en campañas similares, aprovechando nuevas familias de malware como NOROBOT, YESROBOT y MAYBEROBOT.
Un nuevo frente en la guerra digital
El ataque PhantomCaptcha representa una evolución en la ingeniería social, combinando tácticas visualmente creíbles con ejecución manual para evadir defensas automatizadas.
La campaña demuestra que los actores estatales continúan experimentando con nuevos vectores de intrusión, apuntando no solo a infraestructura militar o gubernamental, sino también a organizaciones humanitarias cruciales para el apoyo a Ucrania.
SentinelLabs advierte que, aunque la campaña duró solo 24 horas, su sofisticación y enfoque estratégico sugieren que ataques similares podrían reaparecer en el futuro cercano, especialmente en contextos de conflicto geopolítico.