Análisis del informe de actividad APT de ESET: Ciberamenazas en evolución

Cristian Do Carmo Rodríguez -

ESET ha desglosado los hallazgos clave del Informe de Actividad APT de ESET. Este informe ofrece una visión detallada del panorama actual de las ciberamenazas, destacando la persistencia, la evolución de las tácticas y los actores más relevantes en el mundo del cibercrimen.

UnsolicitedBooker: La persistencia como estrategia

Uno de los actores destacados en el informe es UnsolicitedBooker, un grupo APT alineado con China. Este grupo ha demostrado una notable persistencia, llegando a atacar la misma organización en tres ocasiones a lo largo de varios años. Su objetivo: desplegar su backdoor característico, MarsSnake. Este caso subraya la determinación de ciertos grupos, que no se detendrán ante nada para lograr sus objetivos.

Atribución Difusa: El desafío del tool-sharing

El informe también aborda las crecientes dificultades en la atribución de ataques, especialmente con la tendencia al intercambio de herramientas entre actores, principalmente aquellos alineados con China, como Worok. Esta táctica busca enturbiar las investigaciones, utilizando conjuntos de herramientas solapados provenientes de fuentes digitales comunes, entrelazando sus actividades con las de otros grupos como LuckyMouse y TA428.

Actores alineados con Rusia

El análisis se adentra en las actividades de grupos alineados con Rusia, como Sednit, Gamaredon y Sandworm.

Sednit

Su actividad más reciente gira en torno a la Operación RoundPress, que originalmente se dirigió al popular servicio de webmail Roundcube, pero que se ha expandido a otras plataformas como Horde, MDaemon y Zimbra. Sednit ha estado utilizando correos electrónicos dirigidos, explotando fallos en estos servicios y empleando cross-site scripting para atacar empresas de defensa ubicadas en Bulgaria y Ucrania.

Gamaredon

Sigue siendo uno de los APT más activos en Ucrania, constantemente ajustando sus técnicas de ofuscación para evitar ser detectado.

Sandworm

Ha intensificado su uso de malware de borrado de datos, desplegando un nuevo wiper llamado ZEROLOT en múltiples ocasiones en los últimos seis meses. Este wiper opera con precisión quirúrgica, borrando archivos y directorios específicos sin tumbar inmediatamente todo el sistema, un enfoque que asegura que el malware pueda completar su misión destructiva.