El grupo de amenaza persistente avanzada (APT) APT28, también conocido como Fancy Bear y vinculado a Rusia, ha lanzado un ciberataque sofisticado contra entidades gubernamentales ucranianas utilizando una nueva variante de malware distribuida a través de Signal, la plataforma de mensajería cifrada. El ataque involucró documentos maliciosos enviados mediante chats de Signal, que, al ser abiertos, desplegaron el malware para comprometer los sistemas.
APT28, activo desde al menos 2007, está asociado con la inteligencia militar rusa (GRU). El grupo ha atacado previamente gobiernos, fuerzas armadas e infraestructuras críticas a nivel mundial. Esta última campaña subraya la evolución de las tácticas de actores de amenazas patrocinados por estados, que aprovechan canales de comunicación confiables como Signal para eludir medidas de seguridad tradicionales.
El malware, identificado como una variante del conocido 'Sednit', exhibe capacidades avanzadas, incluyendo exfiltración de datos, acceso remoto y mecanismos de persistencia. Los investigadores de seguridad han observado que el malware utiliza técnicas de ofuscación para evadir la detección por parte de software antivirus y emplea servidores de comando y control (C2) para mantener comunicación con los sistemas comprometidos.
Las autoridades ucranianas de ciberseguridad han emitido alertas instando a los empleados gubernamentales a ejercer precaución al abrir documentos recibidos mediante aplicaciones de mensajería. Este incidente resalta la creciente tendencia de grupos APT a explotar plataformas cifradas para la distribución de malware, una táctica que complica la detección y atribución.
Los expertos recomiendan implementar defensas de seguridad multicapa, incluyendo soluciones de detección y respuesta en endpoints (EDR), filtrado de correo electrónico y capacitación en concienciación de usuarios para mitigar este tipo de amenazas. También se aconseja monitorear el tráfico de red en busca de patrones inusuales y mantener el software actualizado para corregir vulnerabilidades conocidas.
Este ataque forma parte de una escalada en las hostilidades cibernéticas entre Rusia y Ucrania, que ha visto un aumento en operaciones cibernéticas disruptivas y de espionaje desde el inicio del conflicto en 2022. El uso de Signal para la distribución de malware marca un cambio significativo en las tácticas operativas de APT28, reflejando la adaptabilidad y recursos del grupo.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.