El malware GIFTEDCROOK, inicialmente identificado como un simple infostealer de navegadores, ha evolucionado rápidamente en los últimos meses hasta convertirse en una plataforma avanzada de exfiltración de inteligencia, según un nuevo informe de Arctic Wolf Labs. Esta transformación coincide con eventos geopolíticos clave, como las negociaciones de paz entre Ucrania y Rusia en Estambul, lo que sugiere una coordinación estratégica entre ciberoperaciones y objetivos diplomáticos.
🎯 De credenciales a documentos sensibles
Detectado por primera vez en febrero de 2025 como una prueba de concepto, GIFTEDCROOK comenzó robando cookies, historiales de navegación y credenciales almacenadas en navegadores como Chrome, Edge y Firefox. Sin embargo, las versiones más recientes (v1.2 y v1.3) han incorporado capacidades mucho más agresivas:
- Recolección de archivos sensibles (.docx, .pdf, .xlsx, .ovpn, .eml, etc.)
- Filtros por fecha de modificación (últimos 45 días)
- Compresión y cifrado de archivos antes de exfiltración
- Uso de canales de Telegram para enviar los datos robados
- Eliminación automática de rastros mediante scripts batch
Los archivos son divididos en partes si superan los 20 MB, lo que permite evadir filtros de red y mecanismos de detección tradicionales.
📦 Vector de infección: phishing militar
La campaña utiliza correos electrónicos de spear-phishing con señuelos altamente creíbles, como documentos PDF sobre movilización militar o multas administrativas. Estos correos, enviados desde direcciones falsificadas en ciudades ucranianas como Uzhhorod, contienen enlaces a archivos alojados en Mega.nz que descargan documentos Excel con macros maliciosas.
Uno de los archivos más utilizados es un documento titulado “Список оповіщених військовозобов’язаних організації 609528.xlsm” (“Lista de personal militar notificado”), que al habilitar macros, ejecuta el payload de GIFTEDCROOK.
🕵️♂️ Objetivo: espionaje estratégico
El grupo detrás de GIFTEDCROOK, identificado como UAC-0226, ha centrado sus ataques en entidades gubernamentales y militares ucranianas, con el objetivo de recolectar inteligencia crítica. El malware busca específicamente archivos recientes y configuraciones de VPN, lo que indica un interés en interceptar comunicaciones seguras y recopilar información operativa.
Además, se ha detectado infraestructura compartida con otras campañas que utilizan herramientas como NetSupport RAT, lo que sugiere una operación más amplia y coordinada entre múltiples grupos de amenazas.
🛡️ Recomendaciones
- Bloquear macros por defecto en documentos de fuentes externas
- Implementar gateways de correo seguros con análisis de enlaces y archivos adjuntos
- Monitorear tráfico saliente hacia APIs de Telegram
- Usar EDR con capacidades de detección de scripts y cifrado sospechoso
- Capacitar a usuarios sobre phishing con señuelos administrativos o militares
📌 Conclusión
GIFTEDCROOK ya no es solo un ladrón de contraseñas. Es una herramienta de espionaje digital diseñada para recolectar inteligencia estratégica en contextos de conflicto. Su evolución técnica y su alineación con eventos geopolíticos clave lo convierten en una amenaza que va más allá del malware común: es una pieza más en el tablero de la guerra híbrida.
https://arcticwolf.com/resources/blog/giftedcrook-strategic-pivot-from-browser-stealer-to-data-exfiltration-platform/
