-
El ESET APT Activity Report contiene las actividades de grupos APT específicos desde abril hasta septiembre de 2023.
-
Destacan las campañas persistentes de los grupos alineados con China en la UE y la evolución de la ciberguerra de Rusia en Ucrania, pasando del sabotaje al espionaje.
-
Varios grupos aprovechan vulnerabilidades en WinRAR, servidores Microsoft Exchange y servidores IIS.
-
El principal objetivo de los grupos alineados con Rusia sigue siendo Ucrania; Los usuarios de Telegram han sido atacados para la recopilación de datos.
-
Entre los grupos alineados con China recientemente descubiertos, DigitalRecyclers ha comprometido en repetidas ocasiones a una organización gubernamental en la UE, TheWizards ha llevado a cabo ataques AiTM (adversario en el medio) y PerplexedGoblin apunta a otra organización gubernamental en la UE.
ESET, ha publicado su último informe sobre las actividades de grupos seleccionados de amenazas persistentes avanzadas (APT), que fueron observadas, investigadas y analizadas por los investigadores de la compañía desde abril hasta septiembre de 2023. En particular, ESET Research ha observado que varios grupos APT han explotado vulnerabilidades conocidas para robar datos de entidades gubernamentales u organizaciones relacionadas. El informe, presentado durante el evento Tech4Good que ha celebrado ESET, explora las persistentes campañas de los grupos alineados con China en la Unión Europea y la evolución de la ciberguerra de Rusia en Ucrania, con actividades de sabotaje y espionaje.
Sednit y Sandworm, alineados con Rusia, Konni, alineado con Corea del Norte, y Winter Vivern y SturgeonPhisher, no atribuidos geográficamente, han aprovechado la oportunidad que ha brindado este contexto geopolítico para explotar vulnerabilidades en WinRAR (Sednit, SturgeonPhisher y Konni), Roundcube (Sednit y Winter Vivern), Zimbra (Winter Vivern) y Outlook en Windows (Sednit) para atacar a varias organizaciones gubernamentales, no solo en Ucrania sino también en Europa y Asia Central. Con respecto a los actores de ciberamenazas alineados con China, GALLIUM ha aprovechado potencialmente las debilidades en los servidores Microsoft Exchange o los servidores IIS, extendiendo su objetivo de los operadores de telecomunicaciones a las organizaciones gubernamentales de todo el mundo, MirrorFace las vulnerabilidades en el servicio de almacenamiento online Proself, y TA410 las fallas en el servidor de aplicaciones Adobe ColdFusion.
Los grupos alineados con Irán y Oriente Medio han continuado operando a gran escala, centrándose principalmente en el espionaje y el robo de datos de organizaciones en Israel. En particular, MuddyWater, alineado con Irán, ha atacado a una entidad no identificada en Arabia Saudita, desplegando una carga útil que sugiere la posibilidad de que este actor de ciberamenazas sirva como un equipo de desarrollo de acceso para un grupo más avanzado.
El objetivo principal de los grupos alineados con Rusia sigue siendo Ucrania, donde descubrimos nuevas versiones de los conocidos wipers RoarBat y NikoWiper y uno nuevo llamado SharpNikoWiper, todos desplegados por Sandworm. Curiosamente, mientras que otros grupos, como Gamaredon, GREF y SturgeonPhisher, se dirigen a los usuarios de Telegram para tratar de robar información, o al menos algunos metadatos relacionados con la aplicación, Sandworm utiliza activamente este servicio con fines de medición activa, anunciando sus operaciones de cibersabotaje. Sin embargo, el grupo más activo en Ucrania siguió siendo Gamaredon, que mejoró considerablemente su capacidad de recopilación de datos mediante la reelaboración de las herramientas existentes y el despliegue de otras nuevas.
Los grupos alineados con Corea del Norte continúan centrándose en Japón, Corea del Sur y entidades centradas en este país, empleando correos electrónicos de spear phishing meticulosamente elaborados. El esquema más activo de Lazarus observado fue la Operación DreamJob, atrayendo a objetivos con ofertas de trabajo falsas para puestos lucrativos. Este grupo ha demostrado constantemente su capacidad para crear malware en las principales plataformas de escritorio.
Por último, los investigadores de ESET han descubierto las operaciones de tres grupos alineados con China no identificados previamente: DigitalRecyclers, que ha comprometido repetidamente a una organización gubernamental de la Unión Europea; TheWizards, llevando a cabo ataques AiTM (adversario en el medio); y PerplexedGoblin, dirigida a otra organización gubernamental de la UE.
Los investigadores de ESET preparan informes técnicos detallados y actualizaciones frecuentes de actividades que contienen las actividades de grupos APT específicos, en forma de ESET APT Reports PREMIUM, para que sus clientes cuenten con información exclusiva con el objetivo de ayudar a las organizaciones encargadas de proteger a los ciudadanos, la infraestructura nacional crítica y los activos de alto valor de los ciberataques criminales y dirigidos a estados y naciones.
Imagen: Freepik
