Se diversifican los objetivos de los actores de amenazas persistentes avanzadas

El último resumen trimestral de información sobre amenazas de Kaspersky, revela que la actividad de amenazas persistentes avanzadas (APT) durante el segundo trimestre incluyó una serie de operaciones dirigidas u originadas en Oriente Medio y Corea del Sur. Aunque gran parte de la actividad se centró en el ciberespionaje o en el beneficio económico, al menos una campaña parece destinada a difundir desinformación.

Durante el segundo trimestre, los investigadores de Kaspersky observaron actividad en Oriente Medio, incluyendo filtraciones online de activos tales como código, infraestructura, datos de grupos y de aparentes víctimas, supuestamente llevadas a cabo por los actores de amenazas de habla persa, OilRig y MuddyWater. Las fugas provenían de diferentes fuentes, pero todas aparecieron con unas pocas semanas de diferencia. La tercera filtración, que aparentemente expuso información relacionada con una entidad llamada "Instituto RANA", fue publicada en persa en un sitio web llamado "Realidad Oculta". El análisis de los investigadores llevó a la conclusión de que esta fuga podría estar relacionada con el actor de amenazas Hades.

En el segundo trimestre, los grupos de habla rusa también han seguido perfeccionando y lanzando nuevas herramientas y operaciones. Por ejemplo, desde marzo, Zebrocy parece haber centrado su atención en los eventos, funcionarios, diplomáticos y militares relacionados con Pakistán/India, así como en el mantenimiento del acceso continuo a las redes locales y remotas del gobierno de Asia Central. Los ataques de Turla continuaron presentando un conjunto de herramientas en rápida evolución y, un caso notable, el aparente secuestro de la infraestructura perteneciente a OilRig.

La actividad relacionada con Corea fue elevada; mientras que en el resto del sudeste asiático se registró más tranquilidad que en trimestres anteriores. Entre las operaciones dignas de mención figuran un ataque del grupo Lazarus contra una empresa de juegos de azar para teléfonos móviles en Corea del Sur y una campaña de BlueNoroff, el subgrupo Lazarus, contra un banco ubicado en Bangladesh y software de criptografía de divisas.

Los investigadores también observaron una activa campaña dirigida a los organismos gubernamentales de Asia Central dirigida por el grupo chino de APT SixLittleMonkeys, utilizando una nueva versión del troyano Microcin y una RAT que Kaspersky llama HawkEye.

"El segundo trimestre de 2019 muestra lo turbio y confuso que se ha vuelto el panorama de las amenazas, y con qué frecuencia algo no es lo que parece. Entre otras cosas, vimos a un actor de amenazas secuestrando la infraestructura de un grupo más pequeño, y a otro grupo aprovechándose de una serie de filtraciones online para difundir desinformación y socavar la credibilidad de los activos expuestos”, apunta Vicente Díaz, investigador principal de Seguridad del Equipo de Investigación y Análisis Global de Kaspersky. “La industria de la seguridad se enfrenta a una tarea cada vez mayor de ver más allá del secretismo para encontrar los datos y la información sobre amenazas en los que se basa la ciberseguridad. Como siempre, es importante añadir que nuestra visibilidad no es completa, y que habrá actividades que aún no están en nuestro radar o que no entendemos del todo, por lo que la protección contra amenazas conocidas y desconocidas sigue siendo vital para todos".