Trampa del vino: hackers atacan embajadas de la UE cubriendo código con rumores
El disfraz de módulos espía como presentaciones de PowerPoint ya ha confundido a más de un sumiller.
El grupo cibernético Midnight Blizzard ha lanzado un nuevo ataque de phishing dirigido a instituciones diplomáticas en Europa, incluidas embajadas. Según Check Point Research, desde enero de 2025 los atacantes han estado enviando correos falsos supuestamente en nombre de ministerios de relaciones exteriores, invitando a una degustación de vinos. Para ello, utilizan dominios falsificados como «bakenhof[.]com» y «silry[.]com».
La amenaza oculta se encuentra en el archivo comprimido «wine.zip», al que solo pueden acceder víctimas que cumplan ciertos criterios. De lo contrario, el usuario es redirigido al sitio legítimo del organismo oficial, lo que ayuda a evitar sospechas. Dentro del archivo se encuentra un ejecutable legítimo («wine.exe»), disfrazado como una presentación de PowerPoint, junto con un componente malicioso llamado «ppcore.dll», que actúa como cargador y ha sido denominado GrapeLoader.
El código malicioso se ejecuta mediante la técnica de sustitución de archivos DLL y comienza inmediatamente a recopilar información sobre el sistema. Luego, se realizan modificaciones en el registro de Windows para garantizar su ejecución automática, tras lo cual se establece una conexión con un servidor de comando y control desde donde se carga el código malicioso principal directamente en la memoria del dispositivo. La protección contra la detección se implementa mediante un retraso de 10 segundos en la ejecución y el uso de la protección de memoria PAGE_NOACCESS, lo que ayuda a evitar la detección por antivirus y soluciones EDR.
Los investigadores señalan que GrapeLoader ha reemplazado al anterior cargador RootSaw, diferenciándose por un mayor nivel de sigilo y una arquitectura más sofisticada. Su tarea principal es el reconocimiento y la entrega de la siguiente fase del ataque: un backdoor modular llamado WineLoader, que se oculta como una biblioteca legítima de VMware Tools.
WineLoader recopila información detallada del equipo infectado: dirección IP, nombre de usuario y del equipo, identificador del proceso, nivel de privilegios y otros parámetros. Estos datos pueden utilizarse para determinar si el malware se está ejecutando en un entorno sandbox, así como para evaluar la necesidad de descargar componentes adicionales.
La variante de WineLoader detectada presenta una protección mejorada contra el análisis: se utilizan direcciones virtuales relativas duplicadas, manipulación de la tabla de exportación, inserción de instrucciones basura y un complejo esquema de ofuscación de cadenas. Mientras que anteriormente herramientas de análisis automático como FLOSS podían extraer fácilmente cadenas del código malicioso, ahora este método ha resultado ineficaz debido a la implementación más avanzada.
Dado que toda la actividad maliciosa se ejecuta únicamente en la memoria y el envío de correos tiene un carácter estrictamente dirigido, Check Point no ha logrado obtener una versión completa de la segunda fase de WineLoader ni de sus componentes adicionales. Por lo tanto, el alcance exacto de las capacidades del malware aún se desconoce.
No obstante, el estudio subraya que el arsenal de APT29 sigue volviéndose más complejo. El grupo perfecciona sus métodos de ocultación, apuesta por módulos y desarrolla nuevas formas de evadir los sistemas de protección. Todo esto exige que los defensores implementen mecanismos multinivel y un monitoreo intensivo para detectar oportunamente este tipo de ataques.