Una campaña cibernética recientemente reportada, supuestamente dirigida al sector energético de Kazajistán y atribuida a un actor de amenazas denominado Noisy Bear, ha sido aclarada como un ejercicio planificado de phishing por KazMunayGas, la empresa estatal de petróleo y gas del país.

Inicialmente, los investigadores de ciberseguridad identificaron la actividad bajo el nombre en clave Operation BarrelFire, sugiriendo que un grupo de origen ruso estaba apuntando a empleados de KazMunayGas mediante correos electrónicos de phishing con archivos adjuntos maliciosos. Los correos simulaban comunicaciones internas, incluyendo actualizaciones de políticas, procedimientos de certificación de TI y ajustes salariales.

La supuesta cadena de infección involucraba archivos ZIP con un acceso directo de Windows (LNK), un documento señuelo y un archivo de instrucciones en ruso y kazajo para ejecutar un programa llamado KazMunayGaz_Viewer. Se reportó que los payloads estaban diseñados para ejecutar scripts que, eventualmente, lanzarían un implant DLL capaz de abrir shells reversos para actividades de post-explotación. Los investigadores también señalaron conexiones con servicios de hosting a prueba de balas en Rusia y similitudes con campañas de malware dirigidas a Ucrania y Polonia, incluyendo el uso de macros de VBA, Cobalt Strike y canales de exfiltración basados en Slack.

Informes adicionales destacaron otras amenazas regionales, como campañas dirigidas a Rusia usando técnicas como BYOVD (Bring Your Own Vulnerable Driver), troyanos para robo de información como Phantom Stealer, y malware en Android disfrazado de aplicaciones antivirus de la FSB, diseñado para extraer información sensible de los dispositivos.

Sin embargo, según Orda.kz, KazMunayGas aclaró que las capturas de pantalla y escenarios descritos en los reportes eran parte de un ejercicio interno de phishing realizado en mayo de 2025. El objetivo era evaluar la conciencia y respuesta de los empleados ante intentos de phishing, y no se trató de una operación real de ciberespionaje.

Esta actualización subraya la importancia de verificar los informes de ciberseguridad y resalta el valor de los simulacros internos de phishing como medida proactiva para mejorar la conciencia y preparación de los empleados frente a amenazas cibernéticas.

Fuente: https://thehackernews.com/2025/09/noisy-bear-targets-kazakhstan-energy.html