Riesgo de ciberespionaje: DRILLAPP ataca a Ucrania usando Microsoft Edge
Publicado el
Introducción
Recientemente, se ha identificado un nuevo malware denominado DRILLAPP, que está atacando a diversas entidades en Ucrania. Este software malicioso, vinculado a actores de amenazas asociados a Rusia, utiliza técnicas avanzadas para el ciberespionaje, aprovechando las funcionalidades del navegador Microsoft Edge.
Metodología del ataque
El ataque, que fue observado por primera vez en febrero de 2026, muestra similitudes con una campaña previa llevada a cabo por el grupo Laundry Bear (también conocido como UAC-0190 o Void Blizzard), que había centrado sus esfuerzos en las fuerzas de defensa ucranianas mediante el uso del malware PLUGGYAPE.
DRILLAPP se caracteriza por emplear engaños relacionados con temas judiciales y de caridad para desplegar un backdoor basado en JavaScript que opera a través del navegador Edge. Este malware permite a los atacantes subir y bajar archivos, así como usar el micrófono y capturar imágenes mediante la cámara, todo ello aprovechando las capacidades del navegador.
Detalles técnicos
Se han identificado dos versiones diferentes de esta campaña. La primera, detectada a principios de febrero, utiliza un archivo de acceso directo de Windows (LNK) para crear una HTML Application (HTA) en la carpeta temporal, que carga un script remoto alojado en Pastefy, un servicio legítimo de almacenamiento de texto. Para garantizar su persistencia, los archivos LNK se copian en la carpeta de Inicio de Windows, asegurando que se ejecuten automáticamente tras un reinicio del sistema.
El proceso de ataque incluye la visualización de una URL que contiene engaños relacionados con la instalación de Starlink o con la Come Back Alive Foundation, una ONG ucraniana. Este archivo HTML se ejecuta en el navegador Microsoft Edge en modo headless, cargando el script remoto ofuscado.
Los parámetros utilizados al ejecutar el navegador, como –no-sandbox, –disable-web-security, y –allow-file-access-from-files, permiten un acceso sin restricciones al sistema de archivos local, así como a la cámara y al micrófono, todo sin necesidad de interacción del usuario.
Capacidades del malware
Una de las funciones clave de DRILLAPP es su capacidad para crear una huella digital del dispositivo utilizando una técnica conocida como canvas fingerprinting. Este proceso se inicia en el primer uso del malware y permite a los atacantes obtener información sobre el país de origen de la víctima, determinando su ubicación a partir de la zona horaria de la máquina. El malware comprueba si la zona horaria coincide con países como Reino Unido, Rusia, Alemania, Francia, China, Japón, EE.UU., entre otros. En caso contrario, asume que la víctima se encuentra en EE.UU.
La segunda versión de la campaña, observada a finales de febrero de 2026, ha sustituido los archivos LNK por módulos del Panel de Control de Windows, aunque mantiene la secuencia de infección. Además, se han mejorado las capacidades del backdoor, permitiendo enumeraciones de archivos recursivas y descargas de archivos arbitrarios.
Implicaciones y conclusiones
Según LAB52, la empresa de ciberseguridad que ha investigado este malware, uno de los aspectos más relevantes es el uso del navegador como medio para desplegar un backdoor. Esta técnica sugiere que los atacantes están buscando nuevas formas de evadir la detección. El uso del navegador es ventajoso porque es un proceso común y generalmente no sospechoso, además de ofrecer capacidades extendidas accesibles a través de parámetros de depuración que permiten acciones inseguras, como la descarga de archivos remotos y el acceso a recursos sensibles como el micrófono y la cámara.
En conclusión, DRILLAPP representa una amenaza significativa para la seguridad de las entidades ucranianas, y su evolución indica una creciente sofisticación en las tácticas de ciberespionaje.