Una nueva campaña de ciberespionaje atribuida a hackers rusos vinculados al estado está atacando misiones diplomáticas extranjeras con una sofisticación alarmante. El equipo de Threat Intelligence de Microsoft descubrió recientemente esta operación, en la que los atacantes suplantan a la empresa de ciberseguridad Kaspersky Lab para ganarse la confianza de sus objetivos.
El modus operandi comienza con correos electrónicos de spear-phishing cuidadosamente elaborados enviados al personal de las embajadas. Estos mensajes parecen contener alertas de seguridad urgentes o actualizaciones de software de Kaspersky, con un branding y formato que parecen auténticos. Cuando los destinatarios hacen clic en los enlaces incrustados, se les dirige a descargar lo que parece ser un software antivirus legítimo de Kaspersky.
Sin embargo, los archivos descargados contienen en realidad malware personalizado diseñado para el espionaje. El código malicioso establece acceso persistente a los sistemas de las víctimas, permitiendo a los atacantes exfiltrar comunicaciones diplomáticas sensibles, credenciales de acceso y otra información clasificada.
El análisis técnico revela que el malware emplea varias técnicas avanzadas de evasión:
- Process hollowing para ocultar actividad maliciosa dentro de procesos legítimos del sistema
- Comunicaciones cifradas de comando y control
- Capacidades de movimiento lateral dentro de entornos de red
Microsoft atribuye esta campaña con alta confianza al grupo APT29 (también conocido como Cozy Bear), vinculado al Servicio de Inteligencia Extranjera de Rusia (SVR). Este grupo ha estado relacionado anteriormente con ataques de alto perfil como la brecha de SolarWinds en 2020.
La elección de suplantar a Kaspersky es particularmente significativa. Como empresa de ciberseguridad con sede en Rusia, Kaspersky puede parecer una fuente más creíble para el personal de embajadas que maneja asuntos relacionados con Rusia. Esto demuestra el sofisticado entendimiento que tienen los atacantes de la psicología y el contexto operativo de sus objetivos.
Recomendaciones de seguridad:
- Implementar filtrado avanzado de correos para correspondencia diplomática
- Establecer procedimientos estrictos de verificación para todas las actualizaciones de software
- Monitorear patrones inusuales de tráfico en la red
- Realizar capacitaciones de concienciación sobre tácticas avanzadas de phishing
Kaspersky Lab ha emitido un comunicado confirmando que no está asociado con esta campaña y que está colaborando con las autoridades para investigar la suplantación.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.