En el último episodio del ESET Research Podcast, expertos destacados de la firma han presentado hallazgos cruciales del más reciente Informe de Actividad APT. Aryeh Goretsky y Rene Holt, quienes han liderado la conversación, han puesto especial énfasis en la actividad de grupos de amenazas avanzadas (APT) y los desafíos asociados con su atribución, especialmente en un contexto de creciente intercambio de herramientas.
Uno de los actores más notorios en el informe es UnsolicitedBooker, un grupo alineado con China, que ha evidenciado una persistencia notable al intentar infiltrarse en la misma organización en tres ocasiones a lo largo de varios años, utilizando su puerta trasera caracterísica, MarsSnake. Este caso subraya el enfoque inexorable de ciertos grupos, dispuestos a hacer lo que sea necesario para lograr sus objetivos.
El análisis también aborda las complicaciones en la atribución de ataques cibernéticos, en particular el aumento del uso compartido de herramientas entre actores alineados con China, como el grupo Worok. Esta estrategia provoca confusiones en la identificación de los actores, ya que sus actividades se entrelazan con las de otros grupos como LuckyMouse y TA428.
Por otro lado, se discuten las operaciones de grupos alineados con Rusia, incluyendo Sednit, Gamaredon y Sandworm. Sednit ha estado involucrado en la operación RoundPress, que inicialmente dirigía sus esfuerzos contra el popular servicio de correo web Roundcube, pero que actualmente ha comenzado a atacar otras plataformas como Horde y MDaemon. Mediante correos electrónicos dirigidos y la explotación de vulnerabilidades, Sednit ha centrado sus ataques en empresas de defensa en Bulgaria y Ucrania.
Gamaredon, por su parte, continúa siendo uno de los APT más activos en Ucrania, modificando constantemente sus técnicas de ofuscación para evadir la detección. Sandworm ha incrementado su uso de malware de borrado de datos, implementando un nuevo programa llamado ZEROLOT en varias ocasiones en los últimos seis meses. Este wiper opera de manera extremadamente precisa, eliminando archivos y directorios específicos sin afectar de inmediato todo el sistema, lo que le permite cumplir su misión destructiva con eficacia.
Los expertos de ESET también dedican tiempo a examinar las actividades de grupos alineados con Corea del Norte e Irán, lo que arroja más luz sobre el panorama de amenazas actual. Para obtener más detalles sobre estos hallazgos, el podcast invita a los oyentes a escuchar el episodio completo y descargar el Informe de Actividad APT.
Fuente: WeLiveSecurity by eSet.
