La guerra en Ucrania no solo se libra en el frente militar. En el terreno invisible de los sistemas informáticos, el conflicto ha entrado en una nueva fase marcada por la irrupción de la inteligencia artificial (IA) como herramienta ofensiva en manos de los grupos de ciberdelincuentes rusos. Así lo confirma un informe publicado este miércoles por el Servicio Estatal de Comunicaciones Especiales e Información de Ucrania (SSSCIP), que advierte de un salto cualitativo en las tácticas empleadas por los atacantes durante la primera mitad de 2025.
“Los ciberdelincuentes ya no usan la IA solo para generar mensajes de phishing. Algunos de los códigos maliciosos analizados muestran signos claros de haber sido desarrollados con herramientas de inteligencia artificial, y los atacantes no van a detenerse ahí”, señala el organismo ucraniano.
Según los datos del SSSCIP, entre enero y junio de 2025 se registraron 3.018 incidentes cibernéticos, frente a los 2.575 contabilizados en el segundo semestre de 2024. El incremento, de casi un 20 %, refleja una escalada continua en la ofensiva digital del Kremlin, que ahora combina la automatización del phishing, la creación de malware con IA y la explotación sistemática de vulnerabilidades críticas.
De la ingeniería social a la generación automática de malware
Hasta hace poco, el uso de IA por parte de los actores rusos se centraba principalmente en la redacción automatizada de correos de phishing, diseñados para engañar a empleados gubernamentales o militares. Sin embargo, el informe del SSSCIP revela que la inteligencia artificial se está utilizando también para desarrollar o modificar código malicioso, optimizando su capacidad de evasión y su eficiencia destructiva.
Un caso paradigmático es el de UAC-0219, grupo responsable del despliegue de un malware denominado WRECKSTEEL, utilizado contra organismos estatales y entidades de infraestructuras críticas. Según los analistas ucranianos, existen evidencias de que este malware escrito en PowerShell fue parcialmente desarrollado con ayuda de herramientas de IA generativa, lo que permitió a los atacantes automatizar parte del proceso de creación del código y reducir su detección por los sistemas de seguridad.
Esta evolución representa un desafío creciente para los equipos de defensa, ya que los modelos de lenguaje y las herramientas de generación de código pueden ser utilizados para crear variantes únicas de malware, capaces de modificar sus firmas y comportamientos en cada ejecución.
Crecen las campañas de phishing dirigidas
El informe también detalla una serie de campañas de phishing altamente dirigidas, protagonizadas por diferentes unidades o grupos asociados al ecosistema de ciberinteligencia ruso. Entre ellas destacan:
- UAC-0218, que ha atacado a las fuerzas de defensa ucranianas mediante archivos RAR maliciosos para distribuir el stealer HOMESTEEL, diseñado para robar credenciales.
- UAC-0226, que centró sus ataques en organizaciones vinculadas con el desarrollo tecnológico del sector defensa, cuerpos de seguridad y administraciones locales, usando el malware GIFTEDCROOK.
- UAC-0227, que empleó tácticas tipo ClickFix y archivos SVG con código embebido para infectar equipos con Amatera Stealer y Strela Stealer.
- UAC-0125, una subdivisión del grupo Sandworm, que distribuyó un backdoor denominado Kalambur (también conocido como SUMBUR), camuflado como una herramienta de eliminación de amenazas de la compañía ESET.
Estos ataques muestran una diversificación de objetivos: mientras algunos se enfocan en la inteligencia militar y tecnológica, otros apuntan a autoridades locales, infraestructuras críticas y centros de reclutamiento, buscando desestabilizar tanto la estructura civil como la operativa del país.
Explotación de vulnerabilidades de día cero en Roundcube y Zimbra
El SSSCIP también ha documentado la actividad del grupo APT28 (UAC-0001) —uno de los más conocidos dentro del panorama ruso y vinculado al servicio de inteligencia militar GRU—, que habría explotado vulnerabilidades de día cero en los sistemas de correo electrónico Roundcube y Zimbra.
Entre los fallos utilizados figuran las vulnerabilidades CVE-2023-43770, CVE-2024-37383 y CVE-2025-49113 en Roundcube, y CVE-2024-27443 y CVE-2025-27915 en Zimbra. Los ataques, calificados como “zero-click”, no requerían interacción del usuario: bastaba con que el sistema afectado procesara un correo malicioso para que el atacante obtuviera acceso a credenciales, listas de contactos o configuraciones internas.
