Una reciente operación de ciberespionaje, identificada como Operación CargoTalon, ha puesto en la mira a los sectores aeroespacial y de defensa de Rusia, utilizando un backdoor sigiloso llamado EAGLET para extraer información sensible de sistemas comprometidos.

Investigadores de ciberseguridad de Seqrite Labs atribuyen esta campaña a un grupo de amenazas no identificado, denominado UNG0901 (Grupo Desconocido 901). Según su análisis, los atacantes se enfocaron en empleados de la Asociación de Producción de Aeronaves de Vorónezh (VASO), uno de los principales fabricantes de aeronaves en Rusia.

El vector de ataque principal fueron correos electrónicos de spear-phishing, que simulaban notificaciones de entrega de carga. Estos correos contenían archivos ZIP con accesos directos de Windows (LNK). Al ejecutarse, los accesos directos activaban comandos de PowerShell que mostraban un documento de Excel falso y al mismo tiempo instalaban de manera encubierta el malware EAGLET en la máquina de la víctima.

Llama la atención que los documentos falsos hacían referencia a Obltransterminal, un operador de terminales de carga ferroviaria en Rusia sancionado por el Departamento del Tesoro de EE. UU. desde febrero de 2024. Esta estrategia puede haber sido diseñada para darle mayor credibilidad al engaño.

Una vez instalado, EAGLET recopila información del sistema y se conecta a un servidor remoto codificado (185.225.17[.]104) para recibir instrucciones a través de peticiones HTTP. El malware permite el acceso remoto por consola y la carga y descarga de archivos, aunque no se ha podido identificar con exactitud las siguientes etapas del ataque, ya que el servidor de comando y control actualmente está fuera de línea.

Las investigaciones de Seqrite revelan que esta campaña no es un caso aislado. Se han observado tácticas similares y uso del mismo malware en ataques contra la infraestructura militar rusa. Además, coincidencias en el código fuente y en los objetivos sugieren un posible vínculo con otro grupo conocido como Head Mare, también activo contra entidades rusas. El backdoor EAGLET presenta similitudes funcionales con PhantomDL, un malware desarrollado en Go con capacidades similares de acceso remoto y transferencia de archivos.

Este hallazgo coincide con un aumento en las operaciones de otro grupo patrocinado por el estado ruso, UAC-0184 (también conocido como Hive0156), que recientemente ha intensificado ataques contra objetivos en Ucrania. Estas campañas recientes emplean cadenas de ataque más simples, utilizando archivos LNK y PowerShell maliciosos para descargar el archivo señuelo y el Hijack Loader (también conocido como IDAT Loader), que luego ejecuta Remcos RAT, una herramienta de acceso remoto ampliamente utilizada.

Los archivos señuelo incluyen temas relacionados con el ámbito militar ucraniano, lo que sugiere un enfoque específico y posiblemente una ampliación del alcance de las víctimas.

En un contexto donde las amenazas cibernéticas son cada vez más complejas y geopolíticas, estos incidentes demuestran el alto nivel de sofisticación y ambición que están alcanzando los actores involucrados en campañas de espionaje digital.

Fuente: https://thehackernews.com/2025/07/cyber-espionage-campaign-hits-russian.html