Lo que comenzó como una campaña contra contadores ucranianos ha cruzado las fronteras. Los atacantes están utilizando un complejo sistema de archivos comprimidos “matrioska” para instalar herramientas legítimas de control remoto y evadir los antivirus.
La ciberguerra silenciosa está cambiando de frente geográfico. Hoy 24 de febrero de 2026, que el actor de amenazas alineado con Rusia conocido como UAC-0050 (también rastreado como DaVinci Group o Mercenary Akula) ha sido detectado apuntando directamente al sector financiero de Europa Occidental.
Investigadores de seguridad revelaron que, a principios de este mes, el grupo lanzó un sofisticado ataque de ingeniería social contra una entidad financiera europea anónima, específicamente involucrada en iniciativas de desarrollo regional y reconstrucción para Ucrania.
El Objetivo y el Anzuelo
El ataque demuestra un nivel de inteligencia previa (reconocimiento) muy alto. El objetivo principal no fue un empleado al azar, sino un asesor legal y de políticas de alto nivel encargado de adquisiciones; un perfil con acceso privilegiado a operaciones institucionales y mecanismos financieros.
- El Señuelo: El ataque comenzó con un correo electrónico de spear-phishing (phishing dirigido). Los atacantes falsificaron (spoofing) un dominio judicial ucraniano legítimo para darle urgencia y credibilidad legal al mensaje.
- La Evasión Perimetral: El correo contenía un enlace para descargar un archivo alojado en PixelDrain, un servicio de intercambio de archivos legítimo que los atacantes usan para saltarse los filtros de reputación web de los cortafuegos corporativos.
La Infección en Capas (Estilo Matrioska)
Para asegurar que el malware llegara al equipo de la víctima sin ser detectado por los escáneres de correo, UAC-0050 diseñó una cadena de infección de múltiples capas:
- El usuario descarga un archivo ZIP.
- Dentro del ZIP, hay un archivo RAR.
- Dentro del RAR, se esconde un archivo 7-Zip protegido con contraseña.
- Al descomprimir este último, aparece un archivo ejecutable que utiliza el viejo pero efectivo truco de la doble extensión para hacerse pasar por un documento: [nombre-del-documento].pdf.exe.
El Payload: “Living off the Land”
Al hacer clic en el falso PDF, no se instala un virus tradicional, sino un instalador MSI para el Remote Manipulator System (RMS). RMS es un software ruso de escritorio remoto completamente legítimo (similar a TeamViewer o AnyDesk). Al instalar herramientas lícitas (una táctica conocida como Living off the Land), los atacantes obtienen control remoto silencioso, capacidad de compartir pantalla y transferencia de archivos, todo mientras los antivirus tradicionales miran hacia otro lado porque no lo identifican como “malware”.
El Panorama General
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) describe a UAC-0050 como un grupo mercenario asociado con las fuerzas del orden rusas.
Hasta ahora, su modus operandi se había centrado estrictamente en robar datos de funcionarios y contables dentro de Ucrania utilizando troyanos como RemcosRAT. Este ataque marca un punto de inflexión crítico: la infraestructura de apoyo a Ucrania en Europa Occidental ahora es un objetivo directo para el espionaje, el robo financiero y la recopilación de inteligencia.
