El fabricante europeo de seguridad informática ESET ha publicado su "Informe de actividad APT T3 2022" actual. Enfoque: Los grupos de piratas informáticos chinos están activos en Europa y los grupos de piratas informáticos rusos continúan apuntando a Ucrania.
Los resultados de la investigación sobre grupos seleccionados de amenazas persistentes avanzadas (APT) se resumen periódicamente en estos informes. En el último número, que cubre el período de septiembre a diciembre de 2022, los expertos de ESET presentan sus últimos conocimientos sobre varias campañas mundiales de piratería. Los grupos aliados de China han trasladado sus actividades a los países europeos. Los piratas informáticos de Rusia como Sandworm, Callisto y Gamaredon continúan apuntando a Ucrania. Además, siguen operando a gran escala grupos vinculados a Irán y Corea del Norte.
Actores de amenazas chinos hacen que Europa sea insegura
“Los países europeos se están volviendo cada vez más interesantes para los grupos APT chinos. Tradicionalmente, los grupos de piratas informáticos alineados con China como Goblin Panda y Mustang Panda tendían a centrarse más en el sudeste asiático”, explica Jan-Ian Boutin, Director de ESET Threat Research. “Pero en noviembre pasado, los investigadores de ESET encontraron una nueva puerta trasera llamada TurboSlate en una organización gubernamental de la Unión Europea. El malware se remonta a Goblin Panda, que parece estar copiando las operaciones del grupo APT Mustang Panda. Estos últimos descubrieron por sí mismos los destinos europeos a principios de 2022. “El grupo de ciberespionaje es conocido por apuntar a instituciones gubernamentales, corporaciones e institutos de investigación. En septiembre pasado, los expertos de ESET descubrieron un cargador Korplug que estaba siendo utilizado por piratas informáticos en una empresa del sector energético y tecnológico suizo”, continuó Boutin.
La guerra cibernética en Ucrania continúa
El notorio grupo Sandworm también es muy activo y continúa sus operaciones contra Ucrania. Los investigadores de ESET se encontraron con un limpiaparabrisas previamente desconocido que se usó contra una empresa del sector energético en el país de Europa del Este en octubre de 2022. El ataque descrito tuvo lugar en el momento en que las fuerzas rusas comenzaron a lanzar ataques con misiles contra la infraestructura energética. Aunque ESET no puede probar que estos eventos fueron coordinados, esto sugiere que Sandworm y el ejército ruso comparten objetivos similares.
ESET ha denominado al último limpiaparabrisas, proveniente de una línea de limpiaparabrisas descubiertos anteriormente, NikoWiper. El malware se basa en SDelete, una herramienta de línea de comandos de Microsoft utilizada para eliminar archivos de forma segura. Además del malware de borrado de datos, los investigadores de ESET también descubrieron ataques de gusanos de arena que utilizan ransomware como limpiador. El software de encriptación tenía el mismo objetivo que el limpiador, se trataba de destruir datos. Esto se demuestra principalmente por el hecho de que nunca se planeó proporcionar una clave de descifrado.
Gusano de arena, Calisto, Gamaredon
Además de Sandworm, otros grupos APT rusos como Callisto y Gamaredon han continuado con campañas de phishing dirigido contra Ucrania para robar credenciales e instalar malware. En octubre de 2022, ESET detectó el ransomware Prestige, que se utilizó contra empresas de logística en Ucrania y Polonia. Un mes después, los investigadores de ESET en Ucrania encontraron un nuevo software de encriptación escrito en .NET, al que llamaron RansomBoggs. ESET Research publicó los resultados de su investigación sobre esta campaña en la cuenta de Twitter del mismo nombre.
Irán y Corea del Norte siguen operando a gran escala
Los grupos aliados con Irán también continúan con sus ataques: además de las empresas israelíes, POLONIUM también apuntó a las filiales extranjeras de las empresas israelíes. El grupo iraní APT MuddyWater también es sospechoso de comprometer a un proveedor de servicios de seguridad administrados.
El grupo de piratería afiliado a Corea del Norte, Konni, usó antiguas vulnerabilidades para comprometer empresas e intercambios de criptomonedas en diferentes partes del mundo. Los investigadores de ESET descubrieron que los actores de amenazas agregaron el inglés al repertorio de idiomas que utiliza en sus documentos de engaño. Esto sugiere que ya no limitan su radio de acción únicamente a los objetivos habituales de Rusia y Corea del Sur.
Antecedentes del Informe de actividad de la APT
Además del Informe de amenazas de ESET, ESET Research publica el Informe de actividad de APT de ESET, que brinda una descripción general regular de los hallazgos de investigación sobre las actividades de Amenazas persistentes avanzadas (APT). La primera edición cubre el período de mayo a agosto de 2022. En el futuro, el Informe APT se publicará junto con el Informe de amenazas de ESET.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.