Una campaña de Spear phishing de un solo día, denominada PhantomCaptcha, atacó a miembros de la administración regional ucraniana y organizaciones clave de ayuda humanitaria (como la Cruz Roja y UNICEF) el 8 de octubre de 2025. El ataque utilizó un falso proceso de verificación de “captcha” de apariencia oficial de Cloudflare para engañar a las víctimas y hacer que ejecutaran código malicioso.
Mecanismo PhantomCaptcha: Abuso de la Confianza Humana
La campaña fue breve pero extremadamente focalizada, utilizando una sofisticada ingeniería social basada en la familiaridad del usuario con las verificaciones de seguridad.
Cadena de Infección
- Phishing Dirigido: El adversario envió correos que se hacían pasar por la Oficina del presidente de Ucrania o por invitaciones a conferencias de Zoom, utilizando dominios falsos (ej.,zoomconference[.]app).
- Captcha Falso como Gancho: Al hacer clic en el enlace, la víctima era redirigida a una página que simulaba un “captcha” de verificación humana (“Pulse para verificar que no es un robot”).
- Engaño de Ejecución: Si la verificación fallaba (o si el atacante lo determinaba), se le pedía al usuario que copiara un “token” y lo pegara en el Símbolo del Sistema (CMD) o PowerShell.
- Despliegue de RAT: Este comando descargaba un script malicioso cptch) que realizaba un reconocimiento exhaustivo del sistema y, posteriormente, descargaba un troyano RAT (Remote Access Trojan) basado en WebSocket para ejecución remota y exfiltración de datos.
Riesgos subrayados
- Inconsciencia de Captcha: La técnica es insidiosa porque los usuarios están entrenados para completar verificaciones de “soy humano”, lo que reduce la sospecha y aumenta la tasa de éxito.
- Objetivo Crítico: La focalización en organizaciones humanitarias en zonas de conflicto sugiere una intención de espionaje o sabotaje de alto nivel.
- Evasión de C2: El RAT utiliza WebSocket para el control remoto, lo que puede evadir controles tradicionales de C2, ya que mezcla tráfico legítimo del navegador dentro de HTTP/HTTPS.
- Infraestructura Preparada: Los dominios señuelo fueron registrados con meses de anticipación (desde marzo), lo que indica una preparación cuidadosa para este ataque puntual de un solo día.
Recomendaciones
- Formación y Concientización del Personal
- Protocolo de Pegado: Educar al personal sobre el engaño de “captcha falso”: NUNCA pegue tokens o comandos en CMD/PowerShell, sin una verificación fuera de banda de la fuente.
- Verificación de Conferencias: Mantener protocolos estrictos para enlaces de conferencias: verificar el dominio y confirmar la invitación con el remitente a través de un canal distinto al correo.
- Monitoreo y Detección en Endpoint **
- Buscar Scripts de Captcha: Revisar los logs de CMD/PowerShell en el EDR para comandos de descarga desde dominios sospechosos, scripts llamados cptcho cualquier nombre que imite “captcha”.
- Tráfico WebSocket Anómalo: Monitorizar el tráfico WebSocket en endpoints en busca de conexiones inusuales de navegador que inicien scripts o comandos de PowerShell indeterminados.
- Restricción de ejecución: Limitar la capacidad del usuario para ejecutar comandos sin elevación (whitelisting de procesos) y reducir el número de usuarios con privilegios en CMD/PowerShell.
- Endurecimiento de Red
- Filtros de correo: Implementar filtros de correo avanzados para bloquear adjuntos que redirijan a “verificaciones” y analizar URL que utilizan dominios similares a plataformas legítimas de conferencia (como Zoom).
- Segmentación: Implementar segmentación de red para que los equipos utilizados para colaboración (videoconferencias) estén aislados de las redes críticas de producción.
