AvangardSec se atribuye actividad asociada a UAC-0252 bajo la etiqueta Operation Heritage

Resumen ejecutivo

AvangardSec Team publicó un comunicado anunciando la finalización de Operation Heritage, presentada por el propio actor como una operación conjunta contra recursos gubernamentales y logísticos de Ucrania. La publicación menciona como participantes a AvangardSec, QuietSec, POL4RITY y KIDS, y describe una secuencia de actividad que incluiría explotación web, despliegue de malware, compromiso de infraestructura logística, extracción de datos personales y acceso a información de valor estratégico.

AvangardSec afirma que, junto con QuietSec, asume responsabilidad por actividad que servicios ucranianos asocian con UAC-0252, un identificador que ya tiene visibilidad pública en reportes defensivos vinculados a campañas contra Ucrania.

Con la información disponible, no existe validación pública independiente que confirme todo el alcance de Operation Heritage ni que establezca una equivalencia directa entre AvangardSec y UAC-0252. Sin embargo, la autoadjudicación tampoco aparece públicamente refutada.

Juicios clave

• AvangardSec publicó Operation Heritage como una operación conjunta contra recursos gubernamentales y logísticos de Ucrania.
• El actor vincula a AvangardSec y QuietSec con actividad asociada públicamente a UAC-0252.
• La capa técnica relacionada con UAC-0252 tiene base pública en herramientas como DEAFTICK, SHADOWSNIFF, SALATSTEALER y AVANGARD ULTIMATE v6.0.
• La denominación Operation Heritage es el nombre de la campaña utilizada por el actor, no una campaña identificada públicamente con ese nombre por CERT-UA.
• El alcance declarado por AvangardSec, incluiría miles de dispositivos afectados, compromiso logístico completo, cuentas DELTA y extracción masiva de información estratégica.

Qué ocurrió

AvangardSec anunció la finalización de Operation Heritage, definida como una operación contra recursos estatales y logísticos de Ucrania, ejecutada en conjunto con QuietSec, POL4RITY y KIDS.

En la primera fase, el actor afirma que AvangardSec y QuietSec identificaron una vulnerabilidad XSS en el sitio oficial de la administración estatal/militar regional de Mykolaiv, mk[.]gov[.]ua. Según el mensaje, esa vía habría permitido introducir un ejecutable identificado como DEAFTICK, que luego habría sido ejecutado en más de 5.000 dispositivos.

En una segunda fase, el comunicado sostiene que el grupo obtuvo control sobre sistemas de ukrlogistica[.]com, referido como UkrLogistics. El actor afirma haber extraído datos de conductores, propietarios de depósitos, personas físicas e información de infraestructura. También menciona supuesto acceso a 1C Accounting, 33 servidores, 10 paneles Fortigate y 53 routers.

La fase principal del anuncio refiere actividad contra recursos gubernamentales ucranianos, incluyendo arbitr[.]gov[.]ua, court[.]gov[.]ua, tmrada[.]gov[.]ua, nssmc[.]gov[.]ua, dream[.]gov[.]ua y kr[.]gov[.]ua. Según AvangardSec, esa etapa habría permitido extraer más de tres millones de filas de información personal, más de 30 cuentas del sistema DELTA, coordenadas de objetos de infraestructura crítica, listas de empleados estatales y más de 8 GB de información estratégica; utilizando las herramientas de malware deaftickV2 y zephyr loader.

Evaluación operacional

El punto más sólido de la comunicación está en el cruce con UAC-0252. La actividad asociada públicamente a ese identificador incluye campañas contra entidades ucranianas mediante phishing, sitios legítimos vulnerables a XSS, uso de GitHub como infraestructura de alojamiento y herramientas como DEAFTICK, SHADOWSNIFF y SALATSTEALER. También existe referencia pública a AVANGARD ULTIMATE v6.0, una herramienta con características de ransomware/encryptor identificada durante el análisis de repositorios vinculados a esa actividad.

Ese contexto vuelve más interesante el comunicado de AvangardSec porque la novedad no es que existan DEAFTICK o UAC-0252, sino que AvangardSec se autoadjudica, junto con QuietSec, esa actividad, bajo una operación presentada como propia.

Aun así, la cifra de más de 5.000 dispositivos afectados, el control total sobre UkrLogistics, el acceso a paneles Fortigate y routers, la extracción de cuentas DELTA, el volumen de información estratégica y el uso de zephyr loader constituyen elementos que no cuentan con corroboración pública.

Significado para inteligencia

Operation Heritage define una potencial atribución directa hacia AvangardSec y los otros actores que serían parte activa de los ataques; presentando una operación por fases, con participantes, objetivos, dominios, herramientas y una conexión explícita con actividad rastreada públicamente. Lo que elevar su posicionamiento dentro del ecosistema pro-ruso.

No obstante, en términos de inteligencia, esa construcción puede responder a participación real, apropiación parcial de actividad conocida, combinación de incidentes separados o uso propagandístico de reportes defensivos existentes. Son posibilidades que hipotéticamente hablando no pueden descartarse sin evidencia adicional.

Cierre analítico

La autoadjudicación de AvangardSec es relevante porque expone a un grupo de actor pro-Rusia que se vinculan públicamente con actividad basada en malware asociada a UAC-0252 y con herramientas ya visibles en reportes públicos sobre campañas contra Ucrania.

Hasta el momento, no existe evidencia pública suficiente para validar todo el alcance declarado por AvangardSec, incluyendo el volumen de dispositivos afectados, el compromiso logístico, las cuentas DELTA o la extracción masiva de información estratégica. Sin embargo, tampoco se observa una refutación pública que desmienta de forma directa y categórica la atribución planteada por el actor.