Check Point Research detecta una campaña de phishing dirigida a la diplomacia europea, atribuida al grupo APT29

Madrid, 23 de abril de 2025 –Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha identificado una importante oleada de ataques de phishing dirigidos a partir de enero de 2025. Estos ataques se dirigen específicamente a funcionarios del gobierno y diplomáticos de toda Europa, empleando sofisticadas técnicas, tácticas y procedimientos (TTP) que se asemejan mucho a los asociados con una campaña de phishing anterior llamada Wineloader, que anteriormente estaba conectada con APT29, un actor de amenazas vinculado a Rusia.

APT29, también conocido como Midnight Blizzard o Cozy Bear, es reconocido por atacar organizaciones de alto perfil, incluyendo agencias gubernamentales y think tanks. Este grupo también está vinculado al ataque a la cadena de suministro de SolarWinds. Sus operaciones abarcan desde campañas de phishing selectivo hasta importantes ataques a la cadena de suministro, en su mayoría empleando diversos programas maliciosos personalizados.

Ataques dirigidos a ministerios europeos

En una reciente oleada de ciberataques atribuida a APT29, los atacantes suplantaron a un importante ministerio de asuntos exteriores europeo para enviar correos electrónicos engañosos que invitaban a eventos de cata de vinos. Esta nueva campaña, que surgió aproximadamente un año después de la última actividad registrada de Wineloader, se dirigió principalmente a entidades diplomáticas europeas, incluyendo embajadas de países no europeos.

Los correos contenían enlaces maliciosos que, al hacer clic, iniciaban la descarga de una puerta trasera conocida como Grapeloader o redirigían a las víctimas al sitio web legítimo del ministerio suplantado, dando así una apariencia de legitimidad.

Los investigadores identificaron variantes de Grapeloader dirigidas a objetivos específicos, así como una nueva variante de Wineloader. La marca de tiempo de compilación de esta última y su similitud con Grapeloader indican que fue utilizada en una fase posterior del ataque. Esta evolución demuestra la capacidad de adaptación de los atacantes al explotar entidades de confianza para distribuir malware sofisticado.

Imagen 1. Vista general de la campaña

Check Point Research identificó varios correos enviados como parte de la campaña, la mayoría con temática de catas de vino. Se enviaron desde dos dominios distintos, haciéndose pasar por personal del Ministerio de Asuntos Exteriores. Los correos incluían un enlace malicioso que descargaba un archivo denominado wine.zip, paso siguiente del ataque. El dominio del enlace coincidía con el dominio del remitente.

Asuntos detectados en los correos:

• Wine Event
• Wine Testing Event
• Wine tasting event (update date)
• For Ambassador’s Calendar
• Diplomatic dinner

El servidor que alojaba los enlaces estaba protegido contra herramientas de escaneo y análisis automatizado. La descarga maliciosa solo se activaba bajo condiciones específicas, como determinados horarios o ubicaciones geográficas.

“Los recientes ataques de phishing dirigidos atribuidos a APT29 subrayan el creciente nivel de sofisticación y capacidad de adaptación de las amenazas cibernéticas que enfrentan entidades gubernamentales y diplomáticas”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “La aparición de Grapeloader, junto con una nueva variante de Wineloader, demuestra una evolución en las capacidades de sigilo y evasión de los programas maliciosos, planteando retos significativos para su detección y prevención”.

Las soluciones Check Point Threat Emulation y Harmony Endpoint protegen a las organizaciones frente a amenazas como las descritas en esta campaña. Estas herramientas identifican comportamientos maliciosos antes de que puedan impactar en la red, detectan amenazas desconocidas y vulnerabilidades zero-day, permitiendo a los usuarios acceder rápidamente a versiones seguras de los archivos mientras los originales se analizan minuciosamente. Este enfoque proactivo refuerza la seguridad y preserva la integridad de las redes.

La entrada <strong>Check Point Research detecta una campaña de phishing dirigida a la diplomacia europea, atribuida al grupo APT29</strong> se publicó primero en El negocio – Guía Informativa para Autónomos y Pymes.