A finales de febrero de 2024, Mandiant identificó a APT29 –un grupo de amenazas respaldado por la Federación Rusa y vinculado al Servicio de Inteligencia Exterior de Rusia (SVR) por varios gobiernos– que llevaba a cabo una campaña de phishing dirigida a partidos políticos alemanes.
De acuerdo con las operaciones de APT29 que se remontan a 2021, esta operación aprovechó la carga útil principal ROOTSAW (también conocida como EnvyScout) de APT29 para ofrecer una nueva variante de puerta trasera conocida como WINELOADER. Esta actividad representa una desviación del típico objetivo del APT29 contra gobiernos, embajadas extranjeras y otras misiones diplomáticas y es la primera vez que Mandiant identifica el interés operativo de este subgrupo APT29 en los partidos políticos.
Además, si bien APT29 ha utilizado documentos de cebo con el logotipo de organizaciones gubernamentales alemanas anteriormente, este es el primer caso en el que el grupo ha utilizado contenido de cebo en idioma alemán, un posible resultado de las diferentes audiencias de las dos operaciones. Los correos electrónicos de phishing enviados a las víctimas pretendían ser una invitación a cenar y llevaban el logotipo de la Unión Demócrata Cristiana (CDU). El documento cebo en alemán contiene un enlace de phishing que lleva a las víctimas a un archivo ZIP malicioso que contiene un dropper ROOTSAW alojado en un sitio web comprometido controlado por los actores. ROOTSAW entregó un documento señuelo con el tema de la CDU en la segunda etapa y una carga útil WINELOADER en la siguiente etapa.
Más en Mandiant.com
Sobre el cliente Mandiant es un líder reconocido en defensa cibernética dinámica, inteligencia de amenazas y respuesta a incidentes. Con décadas de experiencia en la primera línea cibernética, Mandiant ayuda a las organizaciones a defenderse de manera segura y proactiva contra las amenazas cibernéticas y responder a los ataques. Mandiant ahora es parte de Google Cloud.
Artículos relacionados con el tema