Campaña actual de espionaje cibernético: La Tribu Transparente tiene como objetivo instalaciones militares y gubernamentales en todo el mundo. Alemania es uno de los países más afectados.
Desde enero de 2019, Kaspersky ha estado investigando una campaña en curso del grupo APT Transparent Tribe para distribuir el troyano de acceso remoto (RAT) Crimson. Los ataques comenzaron con el envío de documentos maliciosos de Microsoft Office a las víctimas mediante correos electrónicos de phishing selectivo. En un año, los investigadores pudieron identificar más de 1.000 objetivos en casi 30 países. El análisis del troyano Crimson también reveló nuevos componentes previamente desconocidos, lo que indica que su proceso de desarrollo aún no está completo.
La Tribu Transparente, también conocida como PROJECTM y MYTHIC LEOPARD, es un grupo conocido por sus campañas masivas de espionaje. Sus actividades se remontan a 2013; Kaspersky ha estado monitoreando al grupo desde 2016.
Grupo APT Tribu Transparente activo desde 2016
Se sabe que Transparent Tribe infecta dispositivos a través de documentos maliciosos con una macro incrustada. Para hacer esto, utiliza el malware.NET RAT personalizado, comúnmente conocido como Crimson RAT. Esto consta de varios componentes que permiten al atacante realizar múltiples actividades en las máquinas infectadas, desde administrar sistemas de archivos remotos y tomar capturas de pantalla, hasta monitorear audio con dispositivos de micrófono, grabar secuencias de video a través de cámaras web y robar información de discos extraíbles.
Desarrollo de nuevos programas para campañas.
Si bien las tácticas y técnicas del grupo se han mantenido iguales a lo largo de los años, el análisis de Kaspersky muestra que, sin embargo, Transparent Tribe ha desarrollado continuamente nuevos programas para campañas específicas. Durante la investigación de sus actividades durante el año pasado, los expertos descubrieron un archivo .NET que las soluciones de Kaspersky reconocieron como Crimson RAT. Sin embargo, una inspección más detallada mostró que se trataba de algo más: un nuevo componente Crimson RAT del lado del servidor utilizado por los atacantes para administrar las computadoras infectadas. Viene en dos versiones y fue compilado en 2017, 2018 y 2019. Esto indica que este software aún está en desarrollo y el grupo APT está trabajando en formas de mejorarlo.
Con una lista actualizada de los componentes utilizados por Transparent Tribe, Kaspersky pudo seguir la evolución del grupo y ver cómo intensificó sus actividades, lanzó campañas masivas de infección, desarrolló nuevas herramientas y aumentó su enfoque en Afganistán.
Top 5 de países objetivo: Alemania a la vista
En total, considerando todos los componentes detectados entre junio de 2019 y junio de 2020, los investigadores de Kaspersky identificaron 1.093 objetivos en 27 países. Además de Afganistán, Pakistán, India e Irán, Alemania también es uno de los países más afectados.
"Nuestros hallazgos indican que Transparent Tribe continúa participando en altos niveles de actividad contra múltiples objetivos", comentó Giampaolo Dedola, investigador de seguridad de Kaspersky. “Durante los últimos doce meses hemos observado una campaña muy amplia contra objetivos militares y diplomáticos. Se utilizó una amplia infraestructura para apoyar las operaciones y mejorar continuamente su propio arsenal tecnológico. El grupo continúa invirtiendo en Crimson, su principal RAT, para realizar actividades de inteligencia y espiar objetivos sensibles. No esperamos ninguna desaceleración en la actividad de este grupo en el futuro cercano y continuaremos monitoreándola".
La información detallada sobre los indicadores de compromiso (IoC) relacionados con este grupo, incluidos los hash de archivos y los servidores C2, está disponible en el Portal de inteligencia sobre amenazas de Kaspersky.
Consulte la lista segura de Kaspersky.com para obtener más información.
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/