Según una investigación de Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, se ha detectado una notable coincidencia entre los grupos maliciosos TA829 y UNK_GreenSec, lo que difumina aún más los límites entre el espionaje y el cibercrimen. Ambos comparten infraestructura, métodos de entrega y componentes de malware, lo que plantea dudas sobre una posible colaboración o el uso común de recursos en el entorno delictivo digital.
TA829 ha llevado a cabo tanto actividades delictivas con fines económicos como campañas de espionaje alineadas con los intereses rusos tras la invasión de Ucrania. Desde el año pasado, su actividad se ha mantenido estable, utilizando herramientas personalizadas como el backdoor RomCom y el malware DustyHammock. Sus tácticas, más propias de grupos de ciberdelincuencia que de actores de espionaje, incluyen procesos automatizados, actualizaciones frecuentes de packers y loaders, uso de infraestructura de envío distribuida, direcciones de origen variadas y cadenas de redireccionamiento diseñadas para evadir a los analistas de seguridad.
Durante una pausa en las operaciones de TA829, registrada en febrero, se observaron campañas atribuidas a UNK_GreenSec con elementos que recordaban a las técnicas del primero, aunque con algunas diferencias notables. Estas campañas implicaban el envío masivo de miles de mensajes dirigidos a un espectro más amplio de sectores y regiones geográficas, con señuelos relacionados con procesos de contratación y solicitudes de empleo. Además, se empleó un nuevo loader y backdoor llamado TransferLoader, que ha sido vinculado a infecciones de ransomware.
En ambos casos, los ciberdelincuentes dependen de routers MikroTik comprometidos para distribuir correo electrónico, por lo que utilizan cadenas de redireccionamiento similares y falsifican páginas de destino de OneDrive y Google Drive, aunque sus cadenas de infección divergen en la fase de carga útil.
Históricamente, las operaciones y motivaciones de ciberdelincuencia y espionaje han sido relativamente distintas, y eso dificulta la atribución y la agrupación dentro del ecosistema. Por eso, la investigación de estos conjuntos por parte de Proofpoint plantea varias hipótesis acerca de si estos actores están relacionados o si la coincidencia es casual: puede que los dos compren distribución e infraestructura al mismo proveedor externo; que uno adquiera y distribuya su propia infraestructura, proporcionando esos servicios temporalmente al otro; que sean el mismo actor y la nueva actividad esté en fase de pruebas…
“Estos hallazgos sugieren posibles relaciones entre estos grupos, desde proveedores de infraestructura de terceros compartidos hasta una colaboración directa. Aunque no hay pruebas suficientes para corroborar la naturaleza exacta de la relación entre TA829 y UNK_GreenSec, es muy probable que exista un vínculo. En el panorama actual de amenazas, los puntos en los que se solapan la ciberdelincuencia y el espionaje siguen aumentando, eliminando las barreras que separan a los actores criminales de los estatales”, explican desde Proofpoint.
