Uno de los grupos de hackeo patrocinados por el estado más peligrosos del mundo ha modificado su estrategia para infiltrarse a largo plazo en infraestructuras críticas.
La guerra cibernética está adoptando un enfoque mucho más sigiloso y paciente. Este 24 de marzo de 2026, se revela que el infame grupo APT-C-13 (ampliamente conocido en la industria como Sandworm, APT44, Seashell Blizzard o Voodoo Bear) está ejecutando una campaña masiva contra servidores de Protocolo de Escritorio Remoto (RDP). Sus objetivos incluyen organizaciones de defensa, agencias gubernamentales e infraestructura crítica, habiéndose confirmado ya víctimas en empresas estatales ucranianas.
La Trampa del Software Pirata
Analistas han confirmado que este grupo ruso ha abandonado sus característicos ataques destructivos de un solo golpe para pasar a un modelo de “parasitismo persistente impulsado por inteligencia”.
El vector de entrada inicial abusa de la confianza de los usuarios en el software comercial:
- Los atacantes distribuyen una imagen ISO falsa llamada Microsoft.Office.2025×64.v2025.iso a través de canales de Telegram y comunidades de piratería de software.
- Cuando la víctima monta la imagen para instalar lo que parece ser Microsoft Office, ejecutables ocultos como auto.exe o setup.exe se inician silenciosamente en segundo plano.
- Una vez ejecutado, el cargador inicial despliega un marco de penetración modular conocido como la serie Tambur / Sumbur / Kalambur.
Persistencia Extrema y Túneles Inversos
El aspecto más alarmante de esta campaña es la profundidad técnica con la que los atacantes se atrincheran en el sistema eludiendo las soluciones antivirus tradicionales, abusando casi por completo de herramientas legítimas de Windows (como PowerShell y tareas programadas):
- Módulo Tambur: Establece persistencia plantando tareas programadas con privilegios de administrador dentro de la ruta \Microsoft\Windows\WDI\Protector\ (disfrazándose como una Infraestructura de Diagnóstico nativa de Windows) y utiliza la contraseña codificada 1qaz@WSX para mantener un acceso ininterrumpido al servicio RDP del equipo.
- Módulos Kalambur y Sumbur: Enrutan todo el tráfico de Comando y Control (C2) a través de la red anónima Tor para ocultar su ubicación real. Utilizan túneles inversos SSH para mapear el puerto RDP (3389) de la víctima hacia su servidor remoto, permitiendo inicios de sesión silenciosos desde cualquier parte del mundo. Sumbur incluso imita el servicio de actualización de Microsoft Edge para mezclarse con la actividad normal de la red.
- Módulo DemiMur: Inyecta un certificado raíz falsificado (DemiMurCA.crt) en el almacén de certificados de confianza del sistema y fuerza exclusiones de Microsoft Defender que cubren todo el disco C. Al combinarse, estas dos acciones neutralizan por completo la capa de seguridad nativa.
Dado que los atacantes se toman su tiempo y extraen datos lentamente durante meses, las organizaciones críticas deben prohibir estrictamente el uso de herramientas de activación de terceros y vigilar de cerca el tráfico SSH y RDP anómalo en sus redes.
