El grupo de espionaje cibernético Midnight Blizzard, también conocido como Cozy Bear o APT29, vinculado a los Servicios de Inteligencia Exterior de Rusia (SVR), está detrás de una nueva campaña de spear phishing dirigida a entidades diplomáticas en Europa, incluyendo embajadas.
Detalles de la Campaña de Phishing
La campaña comenzó en enero de 2025 y se inicia con un correo electrónico que finge ser del Ministerio de Asuntos Exteriores, enviado desde dominios como bakenhof[.]com o silry[.]com, invitando a los destinatarios a un evento de degustación de vino.
El correo contiene un enlace malicioso que, si se cumplen las condiciones del objetivo, descarga un archivo comprimido ZIP llamado wine.zip.
Si no se cumplen las condiciones, redirige a las víctimas al sitio web legítimo del Ministerio.
Cadena de Ejecución de GrapeLoader
El archivo ZIP contiene un ejecutable legítimo de PowerPoint (wine.exe), un archivo DLL legítimo necesario para que el programa funcione, y el payload malicioso llamado GrapeLoader (ppcore.dll).
El loader de malware se ejecuta mediante DLL sideloading, recopilando información del sistema, estableciendo persistencia mediante modificaciones en el Registro de Windows y contactando al servidor de comando y control (C2) para recibir el shellcode que se carga en la memoria.
El GrapeLoader es más sofisticado y sigiloso que los anteriores HTA loaders, y cuenta con protecciones de memoria como PAGE_NOACCESS y un retraso de 10 segundos antes de ejecutar el shellcode, dificultando la detección por antivirus y sistemas de detección de amenazas (EDR).
WineLoader: Backdoor Modular para Espionaje
El GrapeLoader facilita la entrega de WineLoader, un backdoor modular que recopila información detallada sobre el sistema infectado, lo que permite realizar operaciones de espionaje. Los datos recolectados incluyen:
- Direcciones IP
- Nombre del proceso
- Nombre de usuario de Windows
- Nombre de la máquina Windows
- ID del proceso
- Nivel de privilegios
La nueva variante de WineLoader es fuertemente ofuscada, utilizando técnicas como duplicación de RVA, desajustes en la tabla de exportaciones y instrucciones de relleno para dificultar su ingeniería inversa.
Tácticas en Evolución
El uso de obfuscación de cadenas en esta nueva variante de WineLoader complica aún más su análisis, interrumpiendo los procesos automatizados de desofuscación.
Check Point señala que los cambios en la implementación de esta variante dificultan la extracción automatizada de cadenas de texto.
Dado que la campaña está dirigida y el malware funciona completamente en memoria, Check Point no pudo obtener el payload completo de WineLoader ni sus plugins adicionales, lo que deja en duda el alcance total de sus capacidades y su personalización según la víctima.
Conclusión ⚠️
Las tácticas y herramientas de APT29 siguen evolucionando, haciéndose cada vez más sigilosas y avanzadas. Esto requiere defensas multicapa y una vigilancia elevada para detectar y detener estos ataques sofisticados.
La campaña de Midnight Blizzard resalta la importancia de estar alerta a las amenazas dirigidas y las técnicas de evasión que emplean los atacantes.