En una nueva y preocupante ola de ataques cibernéticos, un actor de amenaza cibernética patrocinado por el estado ruso ha sido atrapado que se hace pasar por el Departamento de Estado de los Estados Unidos para obtener acceso no autorizado a las cuentas de Gmail, específicamente a las que pertenecen a académicos destacados y críticos de Rusia.
Según los investigadores de seguridad del Grupo de Inteligencia de Amenazas de Google (GTIG), los ataques comenzaron en al menos abril y continuaron hasta principios de junio de 2025. Los piratas informáticos, rastreados bajo el nombre de UNC6293 y sospechosos de estar vinculados al conocido Grupo APT29/ICECAP, confiaron en tácticas de ingeniería social cuidadosamente elaboradas para extraer credenciales de inicio de sesión de sus víctimas.
Los piratas informáticos usaron engaño, no malware
En lugar de usar malware típico o enlaces de phishing flagrantes, los atacantes optaron por un enfoque más sutil. En cambio, crearon confianza con sus objetivos a lo largo del tiempo enviando correos electrónicos personalizados e invitaciones falsas de reuniones. Para mejorar su credibilidad, los atacantes falsificaron las direcciones de correo electrónico del Departamento de Estado de los Estados Unidos, incluso las incluyeron en la línea CC de sus mensajes.
Un ejemplo, compartido por Keir Giles, un destacado investigador británico en Rusia, muestra un mensaje reenviado (ver más abajo) con una dirección de Departamento de Estado aparentemente creíble incluida entre los destinatarios, una táctica clave utilizada para ganar confianza.
Una vez que el objetivo respondió, los atacantes enviaron un archivo PDF de aspecto aparentemente inofensivo, personalizado para cada destinatario y con el tema de parecerse a la comunicación oficial del Departamento de Estado, con instrucciones falsas que afirman ayudarlos a acceder a un sistema de gobierno seguro de los Estados Unidos.
Suggested read: Los hackers ganan más de un millón de dólares por 28 vulnerabilidades zero-day en Pwn2Own Berlín
En realidad, el documento guió a la víctima para crear lo que se conoce como una contraseña específica de la aplicación (ASP), un código único de 16 caracteres utilizado para permitir el acceso a las aplicaciones a las cuentas de Gmail, sin pasar por alto la verificación de dos pasos.
Crucialmente, la víctima recibió instrucciones de enviar este código al atacante. Armados con el ASP, los piratas informáticos podrían iniciar sesión en el correo electrónico del usuario sin ser detectado, obteniendo acceso a largo plazo sin necesidad de contraseñas regulares o actividades de activación de MFA (autenticación multifactor).
«Los atacantes luego configuraron un cliente de correo para usar el ASP, probablemente con el objetivo final de acceder y leer la correspondencia por correo electrónico de la víctima. Este método también permite a los atacantes tener acceso persistente a las cuentas», GTIG escribió en una publicación de blog el jueves.
Dos campañas, una estrategia
GTIG identificó dos campañas separadas pero relacionadas:
Campaña 1 Usé un tema del Departamento de Estado de EE. UU., Sugeriendo el nombre ASP «Ms.state.gov».
Campaña 2 Presentaba una mezcla de marca ucraniana y Microsoft.
Ambas campañas utilizaron los mismos proxies residenciales (91.190.191.117) y los servidores privados virtuales (VP) en la infraestructura, lo que facilita que los investigadores los vinculen.
Medidas tomadas
Google dice que ya ha reescribido las cuentas de Gmail comprometidas por estas campañas y está trabajando activamente para evitar futuros ataques de este tipo. La compañía recuerda a los usuarios que ASPS puede ser creado y revocado en cualquier momento. Cuando se crea un ASP, Google envía automáticamente una notificación a la cuenta de Gmail correspondiente del usuario, la dirección de correo electrónico de recuperación y cualquier dispositivo inicio de sesión con esa cuenta de Google para confirmar que la acción fue intencional.
Para los usuarios de alto riesgo, como periodistas, activistas y analistas políticos, Google proporciona recursos de seguridad mejorados, como el Programa de Protección Avanzada (APP), que ofrece una seguridad más fuerte y deshabilita la capacidad de crear ASP por completo.
«Esperamos que una mejor comprensión de las tácticas y las técnicas mejore las capacidades de caza de amenazas y conduzca a protecciones de usuario más fuertes en toda la industria», concluyó la publicación del blog.