El grupo de hackers patrocinado por el estado ruso, conocido como Star Blizzard (también llamado UNC4057, Callisto o ColdRiver), ha lanzado una nueva y preocupante campaña de spear phishing. Su objetivo: comprometer cuentas de WhatsApp de diplomáticos, funcionarios gubernamentales, expertos en defensa, y organizaciones internacionales vinculadas a Ucrania.
Según un informe reciente de Microsoft Threat Intelligence, esta actividad comenzó a mediados de noviembre de 2024 y marca un cambio en las tácticas del grupo tras la reciente exposición de sus métodos previos. Ahora, Star Blizzard está utilizando códigos QR maliciosos como arma principal para infiltrarse en dispositivos y robar información crítica, lo que ha llevado a los expertos en ciberseguridad a encender las alarmas.
De diplomáticos a usuarios de WhatsApp: El cambio de táctica de Star Blizzard
Star Blizzard, el grupo de hackers vinculado al estado ruso, solía enfocar sus ataques en funcionarios gubernamentales, ONG y personas relacionadas con el apoyo a Ucrania. Sin embargo, en octubre de 2024, su operación sufrió un duro golpe cuando Microsoft y el Departamento de Justicia de EE. UU. lograron desmantelar más de 180 dominios de phishing vinculados al grupo. Pero lejos de desaparecer, los hackers hicieron lo que mejor saben hacer: adaptarse.
En noviembre de 2024, Microsoft Threat Intelligence descubrió su nueva jugada. Por primera vez, Star Blizzard dejó de lado los métodos tradicionales y empezó a usar WhatsApp como herramienta principal de ataque. Su estrategia incluye códigos QR maliciosos que les permiten comprometer cuentas de las víctimas y robar datos sensibles, demostrando una vez más la capacidad del grupo para mantenerse un paso adelante.
Este giro no es del todo sorprendente si se tiene en cuenta que ya en diciembre de 2023, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) había advertido sobre la habilidad de Star Blizzard para evolucionar constantemente sus tácticas. Su capacidad para adaptarse y encontrar nuevos puntos débiles, como lo demuestra esta última campaña, confirma que estamos lidiando con un actor de amenazas tan persistente como peligroso.
Podría interesarte leer: ¿Cómo Identificar Ataques de Spear Phishing?
La trampa comienza con una invitación a WhatsApp
El grupo Star Blizzard pone en marcha su ataque haciéndose pasar por un funcionario del gobierno de los EE. UU. Envían correos electrónicos diseñados cuidadosamente para parecer legítimos, en los que invitan a la víctima a unirse a un grupo de WhatsApp relacionado con iniciativas para apoyar a Ucrania. Todo parece tan auténtico que es fácil caer en la trampa, pero detrás de esa “invitación” se esconde un plan para robar información.
El correo electrónico de phishing (Fuente: Microsoft)
El truco comienza con un correo electrónico que incluye un código QR roto a propósito. La idea es simple: hacer que la víctima piense que algo salió mal y que necesite pedir ayuda. Si la persona responde al correo para pedir un enlace alternativo, ahí es cuando Star Blizzard pasa al siguiente paso.
En su respuesta, los hackers envían un enlace acortado con el dominio "t.ly", que lleva a una página falsa diseñada para parecer una invitación legítima de WhatsApp. En esa página, aparece un nuevo código QR, pero en realidad, es la clave para que los atacantes accedan a la cuenta de la víctima. Es un engaño bien pensado y, si no estás alerta, es fácil caer en la trampa.
.webp?width=1015&height=594&name=site(1).webp)
El truco del código QR tiene un objetivo claro: vincular el dispositivo del atacante a la cuenta de WhatsApp de la víctima. En otras palabras, si sigues las instrucciones de esa página falsa, básicamente le estás dando a los hackers acceso directo a tus mensajes. Según explica Microsoft, una vez que logran entrar, los atacantes pueden exportar tus chats usando herramientas del navegador diseñadas para trabajar con WhatsApp Web.
Lo más preocupante es que este ataque no usa malware ni programas maliciosos que un antivirus pueda detectar. Todo se basa en ingeniería social, es decir, en manipularte para que tú mismo abras la puerta. Por eso, es crucial desconfiar de cualquier mensaje o correo no solicitado, especialmente si incluye invitaciones para unirte a grupos de WhatsApp o enlaces sospechosos.
Una buena práctica es revisar regularmente los dispositivos vinculados a tu cuenta de WhatsApp. Para hacerlo, ve a la opción “Dispositivos vinculados” dentro de la app (ya sea en iPhone o Android) y cierra sesión en cualquier dispositivo que no reconozcas. Esto puede prevenir que alguien acceda a tu cuenta sin tu conocimiento.
Esta nueva táctica de phishing demuestra que, aunque en octubre de 2024 Microsoft y el Departamento de Justicia de EE. UU. lograron eliminar más de 180 dominios de phishing operados por Star Blizzard, los hackers no se dieron por vencidos. Simplemente cambiaron de estrategia y ahora están explotando otros métodos, como este ataque a través de códigos QR en WhatsApp, para seguir operando y robando información.
