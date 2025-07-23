A principios de julio de 2025, IBM X-Force comenzó a monitorear las campañas activas del troyano de acceso remoto (RAT) Hive0156 Remcos dirigidas a víctimas en Ucrania. Hive0156 es un actor de amenazas alineado con Rusia que busca comprometer a personas dentro del gobierno o el ejército ucraniano. Las herramientas, tácticas y procedimientos (TTP) del grupo se superponen fuertemente con el actor UAC-0184 de CERT-UA. Hive0156 entrega archivos Microsoft LNK y PowerShell armados, lo que lleva a la descarga y ejecución de Remcos RAT. X-Force observó documentos señuelo clave con temas que sugieren un enfoque en el ejército ucraniano y evolucionan hacia una audiencia potencial más amplia.
Hive0156 es un actor de amenazas alineado con Rusia que emplea principalmente malware y documentos señuelo para orquestar campañas cibernéticas maliciosas en Ucrania. A lo largo de 2024, Hive0156 se dirigió a chats y personal de señales militares ucranianos mediante la entrega de archivos LNK maliciosos o scripts de PowerShell, lo que provocó infecciones de Remcos. El grupo utiliza temas de documentos señuelo muy relevantes para el personal preocupado por la postura operativa del ejército ucraniano.
Hasta mediados de 2025, el uso generalizado de Hive0156 de temas militares relevantes para documentos señuelo sugiere un interés prioritario en atacar a miembros del ejército ucraniano. Los documentos falsos utilizados en las campañas suelen ser archivos corruptos o basura, pero revelan los temas seleccionados por el grupo para atraer la participación de las víctimas. Los nombres de archivo a menudo se encuentran en formas transliteradas de ruso o ucraniano. A continuación, se destacan los documentos utilizados por Hive0156 en sus operaciones antes de mediados de 2025.
La 33.ª Mecanizada es una brigada de las Fuerzas Terrestres de Ucrania. A finales de 2024, la 33.ª participó en operaciones de combate en Kurakhove y más tarde en las líneas del frente de Heorhiivka y Vuhledar. El señuelo es un documento de Excel funcional no autenticado con varias métricas que generalmente comunican los niveles de varios recursos.
Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx puede referirse a una orden de preparación y posiblemente estar relacionada con la 33.a Brigada Mecanizada. El nombre del archivo se refiere a la preparación del primer batallón mecanizado, un batallón oficial dentro de la 33.a.
En junio de 2024, CERT-UA informó que UAC-0184 entregó archivos maliciosos con la característica de la 3.a Brigada de Asalto Separada de Ucrania, lo que condujo a cadenas de ataque similares.
Boletín de noticias Think
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Según la traducción automática, Rozrahunok_rozpodyl_operatyvnogo_skladu.doc se refiere a la distribución del personal operativo. Dada la recurrencia de los temas bélicos, es probable que esto se refiera al número de tropas.
Pozicii_protivnika_zapad_i_yugo_zapad.xlsx está traducido del ruso y es un documento funcional de Excel. El archivo contiene coordenadas correspondientes a la provincia de Zanjan, en Irán. Tras la inspección de las coordenadas, las ubicaciones parecen consistir principalmente en tierras de cultivo cerca de fuentes de riego, como el río Tikmeh Dash.
A mediados de 2025, X-Force está observando documentos señuelo transliterados en ucraniano que presentan temas relacionados con “peticiones”, “cartas de presentación oficiales” o “rechazos formales”. Esta es una desviación del énfasis del grupo en temas militares para una audiencia más general. Los documentos señuelo observados después de mediados de 2025 generalmente están dañados o llenos de datos basura.
A principios de julio de 2025, el grupo continúa entregando Remcos como su carga útil final principal y ha simplificado su entrega desde 2024. Las campañas recientes de Hive0156 comienzan con un archivo LNK o PowerShell de primera etapa armado. Tras la ejecución, la primera etapa intenta ponerse en contacto con la infraestructura de mando y control (C2) del actor para recuperar el documento señuelo y el archivo zip de archivos maliciosos. La comunicación con el servidor C2 se filtra por región geográfica y un agente de usuario esperado. Tras una recuperación exitosa, el documento señuelo se presenta al usuario, pero a menudo está dañado. En segundo plano, una instancia de Hijackloader (también conocida como IDAT Loader) se ejecuta y entrega Remcos RAT.
En campañas recientes, Hive0156 alterna sus infecciones de primera etapa entre archivos maliciosos LNK o PowerShell. La funcionalidad de ambos tipos es equivalente. La ejecución de la primera etapa es crítica para la entrega del grupo de su malware de cargador, que se descarga en un archivo zip. Ambos tipos de primera etapa ejecutan una cadena de infección HijackLoader en segundo plano mientras presentan al usuario un documento señuelo.
Una diferencia clave entre las campañas de estilo LNK y PowerShell es la entrega del documento señuelo. En las campañas basadas en LNK, se inician dos solicitudes C2 separadas para descargar el documento señuelo y el archivo ZIP de HijackLoader. En las campañas basadas en PowerShell, se inicia una llamada para descargar el archivo ZIP de HijackLoader que contiene el documento señuelo. Esta distinción puede ayudar a los defensores de la red a identificar el tipo de infección de primera etapa encontrada.
La ejecución de HijackLoader sirve como mecanismo de entrega del grupo para Remcos. También conocido como IDAT Loader, HijackLoader hace referencia a archivos de datos ubicados dentro del zip de la primera etapa para desentrañar la carga útil final: Remcos.
El actor de amenazas empaqueta HijackLoader dentro de un archivo ZIP. Los archivos ZIP de HijackLoader contienen múltiples componentes, todos necesarios para continuar la cadena de infección.
Los siguientes componentes suelen estar presentes en un archivo ZIP de HijackLoader:
En este ejemplo, los archivos relacionados con HijackLoader se empaquetaron en un archivo ZIP llamado premo.zip. El archivo ejecutable legítimo PortRemo.exe se ejecuta mediante el archivo LNK inicial, que cargará el archivo DLL sqlite3.dll parcheado y malicioso.
La siguiente imagen muestra la tabla de importación para PortRemo.exe. En algún momento durante la ejecución, se llamará a una de estas funciones y, finalmente, conducirá al código malicioso dentro de sqlite3.dll.
En este ejemplo, sqlite3_result_text16() es la función maliciosa. HijackLoader utilizará la tabla de exportación para evitar que IDA analice correctamente el archivo.
La DLL parcheada leerá y descifrará el shellcode de primera etapa para HijackLoader. El shellcode descifrado descifrará el archivo PNG que contiene los componentes de HijackLoader. HijackLoader utiliza varios módulos para mejorar la funcionalidad.
La siguiente tabla enumera los módulos conocidos, así como su funcionalidad:
Nombre
Funcionalidad
AVDATA
Módulo de lista de bloqueo, que comprueba los nombres de procesos que se sabe que están relacionados con el software de seguridad.
ESAL
Ejecuta la carga útil final.
ESLDR
Se utiliza para inyectar y ejecutar shellcode relacionado con HijackLoader.
ESWR
Elimina el shellcode de la memoria y ejecuta el módulo "rshell".
FIXED
Un archivo ejecutable legítimo que se utiliza para la inyección de procesos.
LaunchLdr
Descifra el archivo PNG de HijackLoader para extraer todos los módulos.
rshell
Configura la carga útil final en la memoria y la ejecuta.
ti
Realiza la inyección de código posterior a la primera etapa.
tinystub
Un archivo PE vacío que se utiliza para parchear e inyectar.
tinyutilitymodule
Sobrescribe los encabezados PE de archivos especificados con bytes nulos.
Una vez que se completen todos los módulos, HijackLoader inyectará su carga útil final en un proceso remoto.
El análisis de X-Force de la configuración de Remcos de Hive0156 parece ser escaso en cuanto a la funcionalidad habilitada. No obstante, esto no indica una disminución de la amenaza. La versión de Hive0156 de Remcos está configurada principalmente para establecer comunicación con la infraestructura C2 del grupo y esperar periódicamente nuevos comandos. El grupo parece operar varias campañas en paralelo y mantiene un uso diligente de la característica de ID de campaña de Remcos. A lo largo de 2025, X-Force observó los identificadores de campaña hmu2005, gu2005, ra2005 y ra2005new asociados al grupo.
Remcos es una herramienta de administración remota desarrollada por Breaking-Security. Los detalles sobre sus características se pueden encontrar aquí.
Al ejecutarse, Remcos cargará su configuración desde un blob dentro de sus recursos. Una vez completado, Remcos analizará su configuración, lo que determina qué acciones tomará durante la ejecución.
Remcos acepta los siguientes parámetros de configuración:
ID de configuración
Función
0x0
Contiene direcciones C2.
0x1
Contiene un identificador para la campaña.
0x2
Determina con qué frecuencia los Remcos deben conectarse a C2.
0x3
Instale Remcos una vez ejecutado. La instalación incluye trasladarlo a una ubicación especial.
0x4
0x5
Habilita la persistencia mediante HKLM y HKCU Software\Microsoft\Windows\CurrentVersion\Run
0x7
Tamaño máximo de archivo para los datos del keylogger antes de rotarlos.
0x8
Habilita la persistencia mediante la clave de registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.
0x9
Directorio para colocar Remcos durante la instalación.
0xA
Nombre del archivo al que se moverá Remcos durante la instalación.
0xC
Habilita el atributo de archivo oculto y establezca los archivos asociados como de solo lectura.
0xE
Un nombre mutex.
0xF
Determina si el keylogger está deshabilitado, completamente habilitado o habilitado solo para ciertas ventanas.
0x10
Se usa para determinar dónde se almacenan los keylogs.
0x11
Se usa para determinar el nombre del archivo de los keylogs.
0x12
Controla el cifrado RC4 para los registros de teclas.
0x13
Controles ocultos para los archivos del keylogger.
0x14
Activa o desactiva la función de grabación de pantalla.
0x15
Intervalo en minutos para capturar cada captura de pantalla.
0x16
Solo graba capturas de pantalla para nombres de ventanas específicos si está habilitado.
0x17
Nombres de ventanas para la opción anterior.
0x18
Intervalo de tiempo asociado con la toma de capturas de pantalla de ventanas específicas.
0x19
Directorio principal para almacenar capturas de pantalla.
0x23
Habilita o deshabilita la grabación de audio.
0x24
Duración en segundos de cada grabación de audio.
0x25
Directorio principal para almacenar grabaciones de audio.
0x26
Nombre de la carpeta en la que se almacenarán las grabaciones de audio.
0x27
Deshabilita UAC en el registro si está habilitado.
0x28
Modo de registro. Se usa para activar o desactivar la ventana de consola.
0x29
Retraso en segundos para el primer intento de conexión C2.
0x2A
Nombres específicos de ventanas para la funcionalidad de keyloging.
0x2B
Habilita la limpieza del navegador web al iniciarse. Remcos es capaz de eliminar todas las cookies e inicios de sesión de Explorer, Chrome y Firefox según las instrucciones de la configuración. El propósito de esta característica es obstaculizar a los ladrones de información, y es probable que tenga poco uso para un atacante malintencionado.
0x2C
Habilita la limpieza del navegador web solo en la primera ejecución.
0x2D
Tiempo de reposo en minutos antes de borrar los navegadores web.
0x2E
Activa o desactiva la funcionalidad de bypass UAC.
0x30
Directorio para instalar Remcos.
0x31
Directorio para almacenar keylogs.
0x32
Habilitar la capacidad de vigilancia. Remcos se inyectará en un segundo proceso y monitoreará su propio proceso original. La función principal es reiniciar el ejecutable principal si se termina.
0x34
Número de licencia de Remcos.
0x35
Habilita la visualización del puntero del mouse en cada captura de pantalla tomada.
0x36
Certificado TLS utilizado para la comunicación C2.
0x37
Clave TLS utilizada para la comunicación C2.
0x38
Certificado público TLS para el C2.
Los indicadores de configuración se utilizan para determinar si Remcos debe habilitar ciertas características. Una vez que Remcos analice su configuración, comenzará a ponerse en contacto con los servidores C2. Remcos puede aceptar comandos adicionales de su servidor C2, incluidos los siguientes:
ID de comando
Funcionalidad
0x1
Un comando de ping.
0x2
Desactiva el envío de paquetes de mantenimiento de conexión.
0x3
Enumera las aplicaciones instaladas.
0x6
Enumera los procesos en ejecución.
0x7
Termina un proceso.
0x9
Cierra una ventana.
0xA
Muestra una ventana maximizada.
0xB
Muestra una ventana.
0xC
Finaliza un proceso por identificador de ventana.
0xD
Ejecuta un comando de shell.
0xE
Inicia un shell canalizado.
0xF
Ejecuta un programa.
0x10
Sube capturas de pantalla al servidor C2.
0x11
Obtiene la ubicación IP global del host.
0x12
Obtiene información de la funcionalidad del keylogger sin conexión.
0x13
Inicia el keylogger en modo en línea.
0x14
Detiene el keylogger cuando se inicia en modo en línea.
0x15
Sube los datos del keylogger al C2.
0x16
Sube los datos del keylogger al C2.
0x17
Elimina los datos del keylogger.
0x18
Borra las cookies del navegador y los accesos de sesión.
0x1B
Inicia el módulo de grabación de la cámara web.
0x1C
Detiene el módulo de grabación de la cámara web.
0x1D
Activa el módulo de grabación de micrófono.
0x1E
Deshabilita el módulo de grabación del micrófono.
0x1F
Intenta robar credenciales de varios programas. Emplea las utilidades de recuperación de contraseñas de Nirsoft: https://www.nirsoft.net/ (Enlace externo a ibm.com).
0x20
Elimina un archivo o carpeta.
0x21
Finaliza su propio proceso y el proceso del organismo de control.
0x22
Desinstala Remcos del sistema.
0x23
Reinicia la computadora.
0x24
Actualiza Remcos desde una URL proporcionada.
0x25
Actualiza Remcos utilizando el servidor C2.
0x26
Muestra un cuadro de mensaje.
0x27
Provoca un apagado o hibernación del sistema.
0x28
Sube los datos del portapapeles al servidor C2.
0x29
Establece el portapapeles en datos definidos por C2.
0x2A
Limpia el portapapeles.
0x2B
Carga y ejecuta un DLL desde el C2.
0x2C
Carga y ejecuta un DLL desde una URL proporcionada.
0x2F
Edita el registro en función de los valores proporcionados por C2.
0x30
Parece permitir al atacante chatear con la víctima.
0x31
Establece el identificador de nombre de Remcos.
0x32
Permite el uso y gestión de proxies.
0x34
Permite a Remcos gestionar los servicios del sistema.
0x8F
Busca un archivo en el sistema.
0x92
Establece el fondo de pantalla del sistema.
0x94
Establece el texto de una ventana y enumera los procesos activos con ventanas mediante EnumWindows().
0x97
Carga los resultados del comando "dxdiag" en el servidor C2.
0x98
Permite a Remcos gestionar archivos a través de acciones como copiar, mover y eliminar.
0x99
Carga datos de captura de pantalla en C2.
0x9A
Vuelca el historial del navegador web mediante ejecutables de Nirsoft.
0x9E
Reproduce un archivo de audio "alarm.wav". Este archivo se obtiene del servidor C2.
0x9F
Permite reproducir "alarm.wav" en la desconexión de C2.
0xA0
Deshabilita la reproducción de "alarm.wav" en la desconexión de C2.
0xA2
Descarga "alarm.wav" desde el servidor C2.
0xA3
Reproduce un archivo de audio.
0xAB
Eleva un proceso.
0xAC
Activa la ventana de la consola de registro.
0xAD
Muestra la ventana de la consola de registro.
0xAE
Oculta la ventana de la consola de registro.
0xB2
Inyecta un ejecutable en un nuevo proceso y lo ejecuta.
0xC5
Establece un valor de registro.
0xC6
Carga cookies y contraseñas del navegador al C2.
0xC8
Suspende un proceso.
0xC9
Reanuda un proceso.
0xCA
Lee un archivo y envía el contenido al servidor C2.
0xCB
Escribe contenido proporcionado por C2 en un archivo.
0xCC
Inicia el keylogger en modo fuera de línea.
0xCD
Detiene el keylogger cuando se inicia en modo fuera de línea.
0xCE
Enumera las tablas TCP y UDP de un proceso.
Como se mostró anteriormente, Remcos cuenta con una amplia variedad de capacidades, incluyendo administración remota, ejecución de cargas útiles, vigilancia, persistencia y robo de información. Remcos puede ser utilizado por administradores de sistemas legítimos; sin embargo, también es muy utilizado por varios actores de amenazas maliciosos. Las acciones realizadas por Remcos en un sistema están impulsadas principalmente por la comunicación con su servidor C2. Remcos incluye un panel GUI para permitir a los atacantes gestionar fácilmente múltiples víctimas dentro de una única interfaz. La interfaz GUI permite crear tareas automatizadas, así como interactuar manualmente con el implante Remcos en un sistema víctima.
Hive0156 opera una red de servidores C2 en todo el mundo y probablemente se beneficie de la indiferencia del proveedor de alojamiento ruso hacia las operaciones del grupo. X-Force descubrió que el grupo emplea geofencing hasta al menos Ucrania y solicita el filtrado de encabezados como parte de sus operaciones de preparación. Hive0156 despliega Remcos con característica limitadas habilitadas, pero actualiza continuamente su configuración desde su C2. Esto puede indicar una priorización del acceso inactivo y la habilitación selectiva de la recopilación en nuevas iniciativas. El mantenimiento de una conectividad sin obstrucciones entre las infecciones de Remcos y la infraestructura C2 del grupo es primordial para continuar el acceso de las víctimas.
Hive0156 continúa realizando operaciones cibernéticas maliciosas contra Ucrania. X-Force evalúa que el grupo continúa atacando al personal militar ucraniano, pero está evolucionando sus documentos de señuelo a temas más generales, lo que sugiere un grupo de víctimas más amplio. Las organizaciones y el personal que pertenecen o están asociados al ejército ucraniano corren un mayor riesgo de ser víctimas de Hive0156.
X-Force recomienda las siguientes acciones para mitigar la actividad de Hive0156:
Indicador
Tipo de indicador
Contexto
5.101.83[.]18
Dirección IP
C2
5.101.83[.]19
Dirección IP
C2
5.101.82[.]52
Dirección IP
C2
146.185.239[.]11
Dirección IP
C2
146.185.239[.]12
Dirección IP
C2
5.101.80[.]15
Dirección IP
C2
6637405265adc8b
SHA256
LNK malicioso
46d633c2937eeca2
SHA256
LNK malicioso
14515e5498d3d3219e
SHA256
LNK malicioso
37d2f3d3af2d564d6f9
SHA256
LNK malicioso
842d1e27d919a0ef568
SHA256
LNK malicioso
ccf6d3eaea549b8f1f02
SHA256
LNK malicioso
63e9fa71789996cf52b
SHA256
LNK malicioso
1f157d473ccfe51a22a0
SHA256
LNK malicioso
002e2e591f324ebdfa2
SHA256
LNK malicioso
c38beb137b130c00b6
SHA256
LNK malicioso
6cd56f7f1f8c7c422c672
SHA256
LNK malicioso
44448993bbe5931c62
SHA256
LNK malicioso
d9d26d19da539b0adc
SHA256
LNK malicioso
7efbfd633d469405c66
SHA256
LNK malicioso
9b662720f48749f5b29d
SHA256
LNK malicioso
8556f07ceb37e726a66c
SHA256
LNK malicioso
9d95228173bf5f29bc3d2
SHA256
LNK malicioso
6c5a89c3dd7b596fd1be
SHA256
LNK malicioso
2387e5e7f1eebfa1c27f95
SHA256
PowerShell malicioso
2d69f5ac19a8f9d4989216
SHA256
Hijackloader
e476331dee7ed59dca01
SHA256
Hijackloader
fab5189c5025d7550dab
SHA256
Hijackloader
f3b4d31644fb8607937a
SHA256
Hijackloader
a720d05cb33492b7526
SHA256
Hijackloader
40325649ca85b3022d
SHA256
Hijackloader
e2828abd351fef967f6d3
SHA256
Remcos RAT
072a05492922f4a812ad
SHA256
Remcos RAT
eabb395b925c39cd2199
SHA256
Remcos RAT
53fc03a7446f0b6dda8c4
SHA256
Remcos RAT
6a4a79b885b5bcd8bbd
SHA256
Remcos RAT
068630c8edc29e424f19
SHA256
Remcos RAT
IBM X-Force Premier Threat Intelligence ahora está integrado con OpenCTI by Filigran, brindando inteligencia de amenazas aplicable en la práctica sobre esta actividad de amenazas y más. Acceda a insights sobre actores de amenazas, malware y riesgos de la industria. Instale el X-Force OpenCTI Connector para mejorar la detección y la respuesta, fortaleciendo su ciberseguridad con la experiencia de IBM X-Force. Obtenga una prueba de 30 días de X-Force Premier Threat Intelligence hoy mismo.
Conozca las amenazas más recientes y fortalezca sus defensas en la nube con el informe de X-Force sobre el escenario de amenazas en la nube.
Aprenda cómo enfrentar los desafíos y aproveche la resiliencia de la IA generativa en la ciberseguridad.
Proteja su organización de amenazas globales con el equipo de hackers, personal de respuesta, investigadores y analistas centrado en amenazas de IBM X-Force.
Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.
Proteja su entorno móvil con las soluciones integrales de defensa contra amenazas móviles de IBM MaaS360.
Obtenga soluciones integrales de administración de amenazas, protegiendo de manera experta su negocio contra ataques cibernéticos.