ESET Research revela un perfil detallado de TA410, un grupo de espionaje cibernético que coopera libremente con APT10. Se sabe que esto se dirige a organizaciones estadounidenses en el sector de servicios públicos y organizaciones diplomáticas en el Medio Oriente y África.
Los investigadores del fabricante europeo de seguridad de TI asumen que este grupo consta de tres equipos diferentes que utilizan diferentes conjuntos de herramientas. Esta caja de herramientas también incluye una nueva versión de FlowCloud. Esta es una puerta trasera muy compleja con amplias capacidades de espionaje. ESET presentará sus últimos hallazgos sobre TA410, incluidos los resultados de la investigación en curso, durante Botconf 2022.
Objetivos de TA410: diplomáticos y militares
La mayoría de los objetivos TA410 son de alto perfil e incluyen diplomáticos, universidades e instalaciones militares. ESET pudo identificar una gran empresa industrial entre las víctimas en Asia y una empresa minera en India. En Israel, los perpetradores tenían como objetivo una organización benéfica. En China, TA410 parece estar dirigido principalmente a extranjeros.
Establecimiento del grupo eSpionage
Los subgrupos de TA410 identificados por ESET, denominados FlowingFrog, LookingFrog y JollyFrog, se superponen en TTP, victimología e infraestructura de red. Los investigadores de ESET también postulan que estos subgrupos operan de manera un tanto independiente, pero pueden compartir requisitos de información comunes, un equipo de acceso que ejecuta sus campañas de phishing y también el equipo que configura la infraestructura de la red.
Capacidades de espionaje de FlowCloud
El ataque suele llevarse a cabo mediante la explotación de vulnerabilidades en aplicaciones estándar como Microsoft Exchange, o mediante el envío de correos electrónicos de phishing selectivo que contienen documentos maliciosos. “Las víctimas serán un objetivo específico de TA410. Los atacantes confían en el método de ataque más prometedor según la víctima para infiltrarse de manera efectiva en el sistema de destino", explica Alexandre Côté Cyr, investigador de malware de ESET. Aunque los investigadores de ESET creen que esta versión de FlowCloud utilizada por el equipo de FlowingFrog aún se encuentra en etapa de desarrollo y prueba. Las capacidades de ciberespionaje de esta versión incluyen la capacidad de recopilar el movimiento del mouse, la actividad del teclado y el contenido del portapapeles junto con información sobre la ventana de primer plano actual. Esta información puede ayudar a los atacantes a comprender mejor los datos robados contextualizándolos.
Pero FlowCloud puede hacer mucho más: la función de espionaje es capaz de tomar fotografías con la ayuda de la cámara web conectada o la cámara integrada o grabar conversaciones desapercibidas a través del micrófono de portátiles o cámaras web. “La última función se activa automáticamente con cualquier sonido por encima del umbral de 65 decibelios, que se encuentra en el rango superior del volumen de conversación normal”, continúa Côté Cyr.
TA410 ha estado activo desde al menos 2018 y Proofpoint lo publicó por primera vez en su publicación de blog LookBack en agosto de 2019. Un año más tarde, la entonces nueva y muy compleja familia de malware llamada FlowCloud también se atribuyó al grupo TA410.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.