El grupo proucraniano conocido como Bearlyfy (también denominado Labubu) ha sido responsable de más de 70 ciberataques contra empresas rusas desde que emergió en el panorama de amenazas en enero de 2025. Sus operaciones más recientes emplean una cepa personalizada de ransomware para Windows llamada GenieLocker.
Bearlyfy opera como un grupo de doble propósito, buscando infligir el máximo daño a las empresas rusas; sus ataques cumplen los objetivos duales de extorsión por ganancias financieras y actos de sabotaje.
El grupo fue documentado por primera vez por la firma de seguridad rusa F6 en septiembre de 2025, cuando utilizaban cifradores asociados con LockBit 3 (Black) y Babuk. Sus primeras intrusiones se centraron en empresas pequeñas, pero luego aumentaron las exigencias, solicitando rescates de hasta 80.000 € (aproximadamente 92.100 dólares). Para agosto de 2025, ya habían reclamado al menos 30 víctimas.
A partir de mayo de 2025, los actores de Bearlyfy también emplearon una versión modificada de PolyVice, una familia de ransomware atribuida a Vice Society (también conocido como DEV-0832 o Vanilla Tempest), que tiene un historial de uso de cifradores de terceros como Hello Kitty, Zeppelin, RedAlert y Rhysida.
El análisis de las herramientas e infraestructura del grupo revela superposiciones con PhantomCore, otra agrupación que opera con intereses ucranianos y que ataca compañías rusas y bielorrusas desde 2022. Además, Bearlyfy habría colaborado con Head Mare.
Los ataques de Bearlyfy obtienen acceso inicial mediante la explotación de servicios externos y aplicaciones vulnerables, seguido del despliegue de herramientas como MeshAgent para facilitar el acceso remoto y permitir el cifrado, destrucción o modificación de datos. En contraste, PhantomCore realiza campañas de tipo APT, donde priman el reconocimiento, la persistencia y la exfiltración de datos.
El grupo se caracteriza por ataques rápidos, con una preparación mínima y un cifrado veloz de datos; otra característica distintiva es que las notas de rescate no son generadas por el propio ransomware, sino que son redactadas directamente por los atacantes.
Según datos de F6, aproximadamente una de cada cinco víctimas opta por pagar el rescate. Las demandas iniciales han escalado hasta alcanzar cientos de miles de dólares.
El cambio más significativo en el modus operandi del grupo es el uso de una familia de ransomware propia llamada GenieLocker, dirigida a sistemas Windows desde principios de marzo de 2026. El esquema de cifrado de GenieLocker está inspirado en las familias Venus/Trinity.
Una de las características más distintivas de estos ataques es que las notas de rescate no son generadas automáticamente por el cifrador. En su lugar, los atacantes optan por sus propios métodos para compartir los siguientes pasos con las víctimas, ya sea proporcionando solo datos de contacto o mensajes elaborados que buscan ejercer presión psicológica y forzar el pago.
Aunque en sus primeras etapas los miembros de Bearlyfy mostraban falta de sofisticación y experimentaban claramente con diversas técnicas y herramientas, en el lapso de un solo año este grupo se ha convertido en una auténtica pesadilla para las empresas rusas, incluyendo grandes corporaciones.
Acerca del autor
