Un nuevo informe de Arctic Wolf Labs ha revelado que el malware conocido como GIFTEDCROOK ha experimentado una evolución significativa, pasando de ser un simple ladrón de datos de navegador a convertirse en una sofisticada herramienta de ciberespionaje capaz de exfiltrar documentos confidenciales, incluyendo archivos sensibles relacionados con entidades militares y gubernamentales de Ucrania.
Las campañas de phishing observadas en junio de 2025 demuestran que los atacantes han ampliado considerablemente las capacidades del malware, enfocándose en el robo selectivo de documentos con valor estratégico, lo que sugiere una motivación más allá del simple cibercrimen: la recopilación de inteligencia estatal.
Origen de GIFTEDCROOK y atribución al grupo UAC-0226
GIFTEDCROOK fue identificado por primera vez en abril de 2025 por el CERT-UA (Equipo de Respuesta a Emergencias Informáticas de Ucrania), en el contexto de una campaña que apuntaba a:
-
Entidades militares
-
Agencias de seguridad y aplicación de la ley
-
Gobiernos locales y autogestionados
La actividad maliciosa ha sido atribuida al grupo UAC-0226, un actor de amenazas enfocado en Ucrania que se especializa en técnicas de phishing dirigidas, utilizando documentos de Microsoft Excel con macros maliciosas para implementar el malware.
Técnica de infección: phishing con macros en documentos Excel
El modus operandi comienza con un correo electrónico de phishing que contiene un documento de Excel aparentemente legítimo. El archivo se presenta como un recurso oficial —en este caso, una lista militar— bajo el nombre «Список оповіщених військовозобов’язаних організації 609528.xlsm».
El archivo está alojado en plataformas de almacenamiento en la nube como Mega, y al ser descargado y al activarse las macros, GIFTEDCROOK se ejecuta en el sistema, iniciando la recopilación de datos sensibles sin que la víctima se dé cuenta.
Este vector de ataque es especialmente peligroso en entornos corporativos o institucionales, donde las hojas de cálculo son herramientas comunes, lo que reduce la sospecha y permite a los atacantes evadir defensas tradicionales.
De robo de credenciales a exfiltración de inteligencia
En sus primeras versiones, GIFTEDCROOK se limitaba al robo de:
-
Cookies del navegador
-
Historial de navegación
-
Credenciales de inicio de sesión de navegadores como Google Chrome, Microsoft Edge y Mozilla Firefox
Sin embargo, desde su versión 1.2 y 1.3, se han añadido capacidades avanzadas para recopilar documentos con un tamaño inferior a 7 MB, priorizando aquellos que fueron creados o modificados en los últimos 45 días. Las extensiones de archivo objetivo incluyen:
1 | .doc, .docx, .xls, .xlsx, .ppt, .pdf, .eml, .txt, .csv, .jpeg, .jpg, .png, .sqlite, .ovpn, .rar, .zip, .odt, .ods, .rtf, .pptx |
Esto le permite a GIFTEDCROOK acceder a información crítica como:
-
Informes confidenciales
-
Presentaciones gubernamentales
-
Bases de datos locales
-
Documentos estratégicos y operacionales
-
Configuraciones de VPN y archivos comprimidos protegidos
Mecanismo de exfiltración: Telegram y evasión de detección
Una vez recolectados, los datos son comprimidos en un archivo ZIP y exfiltrados a través de canales de Telegram controlados por los atacantes. Si el archivo supera los 20 MB, se divide automáticamente en partes más pequeñas, permitiendo que el envío pase desapercibido por los sistemas de detección de tráfico anómalo o filtros de red.
En la etapa final, el malware ejecuta un script por lotes diseñado para autodestruir el ejecutable, eliminando rastros de su presencia en el sistema infectado y dificultando el análisis forense posterior.
Implicaciones geopolíticas y contexto estratégico
Según Arctic Wolf, el momento de las campañas observadas coincide con eventos geopolíticos claves, como las recientes negociaciones entre Ucrania y Rusia en Estambul, lo que refuerza la hipótesis de que el objetivo principal es la inteligencia estratégica más que el lucro económico.
“La progresión de GIFTEDCROOK —desde el robo básico de credenciales hasta la exfiltración selectiva de documentos— muestra un claro esfuerzo por alinearse con objetivos geopolíticos”, señala el informe.
Este patrón apunta a una coordinación entre desarrollo de malware y eventos internacionales, una táctica típica en actores de amenazas patrocinados por estados.
Riesgo elevado para el sector público y administraciones
GIFTEDCROOK representa una amenaza crítica no solo para individuos, sino para infraestructuras institucionales completas, especialmente aquellas conectadas a redes gubernamentales o militares. El malware no solo espía, sino que roba información crítica de manera silenciosa y selectiva, poniendo en riesgo operaciones estratégicas y comprometiendo comunicaciones sensibles.
El hecho de que pueda filtrar archivos como
1 | .ovpn |
sugiere incluso la posibilidad de comprometer redes enteras mediante credenciales VPN robadas.
GIFTEDCROOK, un malware al servicio del espionaje moderno
La transformación de GIFTEDCROOK refleja una tendencia creciente en el ámbito de la ciberseguridad: el uso de malware híbrido como herramienta de ciberespionaje con fines geopolíticos. Lo que comenzó como un ladrón de datos ha evolucionado hasta convertirse en una amenaza compleja, capaz de extraer inteligencia valiosa de víctimas clave en Ucrania.
La combinación de ingeniería social precisa, evasión de defensas, técnicas avanzadas de exfiltración y limpieza de huellas hace de GIFTEDCROOK una herramienta sofisticada, cuya amenaza seguirá latente mientras el conflicto entre Rusia y Ucrania continúe.
Fuente: The Hacker News
