Los métodos más comúnmente observados utilizados por los hackers rusos consisten en hacerse pasar por un chatbot de soporte de Signal para inducir a sus objetivos a revelar sus códigos. Los atacantes pueden entonces utilizar estos códigos para tomar el control de la cuenta del usuario. Otro método empleado por estos actores aprovecha la función de ‘dispositivos vinculados’ dentro de Signal y WhatsApp.
Al menos tres actores de amenazas rusos han sido vinculados a esta campaña, incluyendo la unidad de guerra cibernética del GRU conocida como GRU unit 74455, “Seashell Blizzard” o “Sandworm”. Según AIVD, las posibles víctimas incluyen a empleados gubernamentales y periodistas.
Es importante destacar que ni las aplicaciones Signal ni WhatsApp han sido hackeadas. El ataque consiste en ingeniería social que engaña al usuario para que permita al actor de amenazas acceder a sus cuentas. Es probable que esta campaña haya estado en curso durante un tiempo considerable. Una campaña similar fue reportada por Truesec en febrero de 2025 y también fue atribuida al GRU. [2]
Recomendaciones
“Sandworm” es más conocido por sus operaciones destructivas de guerra cibernética, pero también ha estado involucrado en ciberespionaje y operaciones de “hack-and-leak” donde información sensible es robada y manipulada para desacreditar a personas y gobiernos.
En su alerta, AIVD también publicó recomendaciones sobre cómo detectar si alguien en un grupo de Signal puede haber sido suplantado por alguien que ha obtenido acceso a la información de su cuenta. [1] Los creadores de Signal también han publicado información sobre cómo evitar ser engañado por estos actores de amenazas. Según Signal, no utilizan un chatbot que busque a los usuarios sin ser solicitado y nunca pedirán códigos PIN si contactan a los usuarios. [3]
Truesec recomienda a todos los usuarios de estas aplicaciones que se familiaricen con estas recomendaciones, especialmente si pertenecen a alguna de las categorías de posibles víctimas mencionadas.
Referencias
[1] https://english.aivd.nl/latest/news/2026/03/09/russia-targets-signal-and-whatsapp-accounts-in-cyber-campaign
[2] https://soc.truesec.app/TS-ThreatInsight-2025-9
[3] https://x.com/signalapp/status/2031038277604585785
