ESET ha publicado su informe de actividad de amenazas avanzadas (APT) correspondiente al segundo y tercer trimestre de 2024, que detalla las acciones de diversos grupos APT investigados entre abril y septiembre de este año. Este informe no solo ofrece un panorama general sobre las tendencias en ciberseguridad, sino que también incluye información relevante que complementa los informes privados de APT que ESET proporciona a sus clientes.
Durante el periodo observado, se destacó la expansión de actividades del grupo MirrorFace, alineado con China, que tradicionalmente se había enfocado en entidades japonesas. Por primera vez, este grupo apuntó a una organización diplomática de la Unión Europea, además de continuar con su atención sobre los objetivos en Japón. Simultáneamente, los grupos APT alineados con China han comenzado a utilizar cada vez más el software de código abierto SoftEther VPN para mantener el acceso a las redes de sus víctimas. ESET registró un uso significativo de esta herramienta por parte de Flax Typhoon y Webworm, con el último cambiando a este sistema en organizaciones gubernamentales de la UE.
En otra parte del mundo, se observaron indicios de que grupos alineados con Irán están utilizando sus capacidades cibernéticas para la espionaje diplomático y operaciones potencialmente ofensivas. Estos grupos comprometieron varias firmas de servicios financieros en África, llevaron a cabo ciberespionaje contra Iraq y Azerbaiyán y mostraron un incremento en su interés por el sector del transporte en Israel. A pesar de su enfoque geográfico, también emprendieron acciones contra misiones diplomáticas en Francia y organizaciones educativas en Estados Unidos.
Los actores de amenazas alineados con Corea del Norte continuaron avanzando en intereses del régimen, acusados de robar fondos para financiar sus programas de armas de destrucción masiva. Estos grupos centraron sus ataques en empresas de defensa y aeroespaciales en Europa y Estados Unidos, así como en desarrolladores de criptomonedas y ONGs. El grupo Kimsuky, por ejemplo, comenzó a abusar de los archivos de Microsoft Management Console, que habitualmente utilizan los administradores de sistemas. También se reportó el uso indebido de servicios de almacenamiento en la nube por parte de varios grupos, destacando el caso de ScarCruft que abusó de los servicios en la nube de Zoho.
Asimismo, los grupos de ciberespionaje alineados con Rusia están dirigiendo sus ataques a servidores de correo web a través de correos de phishing dirigidos que explotan vulnerabilidades de XSS. Entre los grupos identificados está Gamaredon, que llevó a cabo campañas de phishing masivo en Ucrania, mientras que Sednit apuntó a entidades gubernamentales y académicas a nivel global. Un nuevo grupo, conocido como GreenCube, ha sido detectado robando correos a través de vulnerabilidades similares.
El informe resalta que las actividades maliciosas documentadas son detectadas por productos de ESET. La inteligencia compartida se basa principalmente en datos de telemetría propios de la compañía, verificados por sus investigadores.
Fuente: WeLiveSecurity by eSet.
