Hoy, muchas de las ciberamenazas están orquestadas por grupos organizados, respaldados por estados, con recursos y capacidades técnicas que rivalizan con las de cualquier empresa tecnológica. Uno de los más conocidos es Midnight Blizzard, también identificado como APT29 o Cozy Bear, un grupo de ciberespionaje vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).
Según investigaciones de Check Point Research, este grupo ha lanzado una nueva campaña de phishing dirigida específicamente a entidades diplomáticas en Europa, incluidas embajadas. Lo alarmante es que han incorporado herramientas maliciosas nunca vistas: un nuevo cargador de malware llamado GrapeLoader y una versión actualizada de su conocida puerta trasera, WineLoader. Su sigilo y precisión convierten esta campaña en una de las más sofisticadas detectadas recientemente.
La campaña de phishing arrancó en enero de 2025 y, como muchas de estas trampas, comenzó con un simple correo electrónico. A primera vista, parecía venir del Ministerio de Asuntos Exteriores, usando dominios como bakenhof[.]com o silry[.]com, e invitaba al destinatario a un evento exclusivo de cata de vinos. Todo muy bien presentado, como si fuera una invitación oficial.
El mensaje incluía un enlace que, dependiendo de ciertos factores del dispositivo de la víctima, podía hacer dos cosas: si las condiciones se daban, descargaba automáticamente un archivo ZIP llamado wine.zip; si no, redirigía al usuario al sitio legítimo del Ministerio, para no levantar sospechas.
Dentro del ZIP venían tres archivos: un ejecutable legítimo de PowerPoint (wine.exe), una DLL necesaria para su funcionamiento y, escondida entre ellos, la verdadera amenaza: la carga maliciosa GrapeLoader (ppcore.dll).
Este malware se aprovecha de una técnica conocida como carga lateral de DLL. Una vez en marcha, comienza a recolectar información del sistema, asegura su permanencia haciendo cambios en el Registro de Windows, y se conecta con su servidor de comando y control (C2). Desde ahí recibe instrucciones y carga código directamente en la memoria, evitando dejar rastros visibles en el disco.
Cadena de ejecución de GrapeLoader (Fuente: Check Point)
Todo apunta a que GrapeLoader está tomando el lugar de RootSaw, el cargador HTA que Midnight Blizzard venía usando en la primera etapa de sus ataques. ¿La razón? GrapeLoader es mucho más discreto y avanzado, ideal para pasar desapercibido.
Una de las claves de su sigilo está en cómo maneja la memoria: usa una técnica llamada ‘PAGE_NOACCESS’ para proteger ciertas áreas, lo que complica que los antivirus las escaneen. Además, introduce un retraso de 10 segundos antes de ejecutar el código malicioso, usando la función ResumeThread. Esta pausa le da el tiempo justo para evitar que las herramientas de detección lo identifiquen como una amenaza desde el principio.
En esta campaña, GrapeLoader tiene dos tareas principales: moverse con sigilo dentro del sistema y preparar el terreno para el siguiente paso. Su trabajo es reconocer el entorno sin levantar sospechas y luego entregar WineLoader, que llega disfrazado como si fuera una DLL legítima de VMware Tools, pero en realidad está troyanizada para hacer cosas mucho menos inocentes.
Podría interesarte leer: Hackers rusos hurtan emails de Microsoft
WineLoader no es cualquier malware. Es una puerta trasera modular diseñada para el espionaje, y viene equipada para recolectar un montón de datos del sistema infectado sin hacer ruido.
Entre la información que recoge están las direcciones IP, el nombre del proceso donde se está ejecutando, el usuario de Windows, el nombre del equipo, el ID del proceso y el nivel de privilegio que tiene en el sistema. Con todos estos datos, los atacantes pueden saber si están dentro de una máquina real o en un entorno de prueba (sandbox), y decidir si vale la pena lanzar más cargas maliciosas.
Además, la versión más reciente de WineLoader que se ha detectado está súper ofuscada. Usa trucos como la duplicación de RVA, errores intencionales en la tabla de exportación y un montón de instrucciones basura, todo con el objetivo de que sea muy difícil analizarla o entender cómo funciona realmente.
Comparación de rutinas de desempaquetado
Una de las cosas que más llama la atención en la nueva variante de WineLoader es lo mucho que ha mejorado su capacidad para esconderse del análisis. Especialmente cuando se trata de las cadenas de texto dentro del código, que ahora están mucho más ofuscadas que en versiones anteriores.
Antes, herramientas automáticas como FLOSS podían extraer fácilmente esas cadenas una vez que el archivo estaba descomprimido. Pero ahora, con los cambios implementados, ese proceso falla. Las cadenas no se revelan tan fácilmente, lo que complica muchísimo el trabajo de los analistas y ralentiza la detección.
Además, como esta campaña estuvo altamente dirigida y el malware se ejecutó por completo en memoria, no fue posible recuperar toda la carga útil de la segunda etapa ni los complementos adicionales de WineLoader. Eso significa que todavía hay partes importantes de su funcionamiento que siguen siendo un misterio, incluyendo qué tanto se personaliza según la víctima.
Lo que sí está claro es que las técnicas y herramientas de este grupo han evolucionado, volviéndose más silenciosas, más inteligentes y mucho más difíciles de rastrear. Y eso exige defensas mucho más sofisticadas y una vigilancia constante para poder detectar este tipo de amenazas antes de que sea demasiado tarde.