El grupo Ghostwriter ha vuelto a la carga contra el gobierno ucraniano, utilizando una campaña de phishing con geolocalización. Los atacantes envían archivos PDF que, al abrirse, despliegan el malware Cobalt Strike. Esta táctica de geocercado activa el ataque solo si la víctima está en una ubicación específica, dificultando el análisis desde fuera de Ucrania.
Cómo funciona el geocercado en la distribución de malware 🗺️
El geocercado es una técnica que verifica la ubicación de la víctima mediante coordenadas IP o GPS antes de ejecutar el payload. En esta campaña, los PDF maliciosos contienen enlaces que solo descargan Cobalt Strike si el usuario se encuentra dentro de Ucrania. Esto evita que los analistas en otros países detecten el código malicioso al abrir el archivo en entornos controlados. Cobalt Strike permite a los atacantes ejecutar comandos, robar datos y moverse lateralmente en la red comprometida, todo desde un servidor remoto.
El ataque que solo funciona si estás en el lugar correcto 🎯
Ghostwriter ha perfeccionado el arte de la exclusividad: su phishing solo abre la puerta si estás en Ucrania. Si eres un analista en España o Estados Unidos, el PDF se comporta como un documento inocuo. Es como si el malware dijera: lo siento, no estás en la lista de invitados. Mientras tanto, los funcionarios ucranianos abren el archivo y reciben una sorpresa digital que no pidieron. La geolocalización como filtro de seguridad inversa: un truco que haría sonreír a cualquier vendedor de entradas para conciertos.