Image by Monique Carrati, from Unsplash
Los Hackers se Enfocan en los Diplomáticos de la UE con Invitaciones Falsas a Eventos de Vino
Tiempo de lectura: 3 min.
Actualizado por última vez: Apr 17, 2025
-
![Kiara Fabbri]()
-
![El equipo de localización y traducción]()
Traducido por El equipo de localización y traducción Servicios de localización y traducción
Hackers rusos, haciéndose pasar por funcionarios de la UE, atraían a los diplomáticos con falsas invitaciones a catas de vino, desplegando el sigiloso malware GRAPELOADER en una campaña de espionaje en constante evolución.
¿Apurado? Aquí están los datos rápidos:
- APT29 ataca a los diplomáticos de la UE con correos electrónicos de phishing disfrazados de invitaciones a eventos de vino.
- GRAPELOADER utiliza tácticas más sigilosas que el malware anterior, incluyendo mejoras anti-análisis.
- El malware ejecuta código oculto a través de la carga lateral de DLL en un archivo de PowerPoint.
Los investigadores de ciberseguridad han descubierto una nueva ola de ataques de phishing llevados a cabo por el grupo de hackers vinculado a Rusia APT29, también conocido como Cozy Bear. La campaña, señalada por Check Point, se dirige a diplomáticos europeos engañándolos con falsas invitaciones a eventos de cata de vinos diplomáticos.
La investigación descubrió que los atacantes se hicieron pasar por un Ministerio de Asuntos Exteriores europeo y enviaron a los diplomáticos invitaciones que parecían oficiales. Los correos electrónicos contenían enlaces que, al ser pulsados, condujeron a la descarga de un malware oculto en un archivo llamado wine.zip.
Este archivo instala una nueva herramienta llamada GRAPELOADER, que permite a los atacantes obtener un punto de apoyo en la computadora de la víctima. GRAPELOADER recopila información del sistema, establece una puerta trasera para futuros comandos y asegura que el malware permanezca en el dispositivo incluso después de un reinicio.
“GRAPELOADER perfecciona las técnicas anti-análisis de WINELOADER mientras introduce métodos de ocultación más avanzados”, señalaron los investigadores. La campaña también utiliza una versión más nueva de WINELOADER, un backdoor conocido de los ataques anteriores de APT29, que probablemente se utiliza en las etapas posteriores.
Los correos electrónicos de phishing se enviaron desde dominios que suplantaban a funcionarios reales del ministerio. Si el enlace en el correo electrónico no lograba engañar al objetivo, se enviaban correos electrónicos de seguimiento para intentarlo de nuevo. En algunos casos, al hacer clic en el enlace, los usuarios eran redirigidos al sitio web oficial del Ministerio para evitar sospechas.
El proceso de infección utiliza un archivo PowerPoint legítimo para ejecutar código oculto utilizando un método denominado “carga lateral de DLL”. Luego, el malware se copia a sí mismo en una carpeta oculta, cambia la configuración del sistema para lanzarse automáticamente y se conecta a un servidor remoto cada minuto para esperar nuevas instrucciones.
Los atacantes hicieron grandes esfuerzos para permanecer ocultos. GRAPELOADER utiliza técnicas complejas para descifrar su código, borrar sus rastros y evitar ser detectado por el software de seguridad. Estos métodos dificultan que los analistas descompongan y estudien el malware.
Esta campaña demuestra que APT29 continúa evolucionando sus tácticas, utilizando estrategias creativas y engañosas para espiar a objetivos gubernamentales en toda Europa.
Artículo anterior
Artículos más recientes 
