Según el informe de los investigadores de ESET, los grupos APT vinculados a Rusia continuaron participando en operaciones dirigidas específicamente a Ucrania, utilizando borradores de datos destructivos y ransomware durante este período. Goblin Panda, un grupo afiliado a China, comenzó a copiar el interés de Mustang Panda en los países europeos. Los grupos vinculados a Irán también están operando a un alto nivel. Junto con Sandworm, otros grupos APT rusos como Callisto, Gamaredon continuaron con sus ataques de phishing dirigidos a ciudadanos de Europa del Este.
Los aspectos más destacados del Informe de actividad de APT de ESET son los siguientes:
ESET ha detectado que en Ucrania, el notorio grupo Sandworm está utilizando un software de borrado de datos previamente desconocido contra una empresa del sector energético. Las operaciones de los grupos APT generalmente las llevan a cabo participantes estatales o patrocinados por el estado. El ataque se produjo al mismo tiempo que las fuerzas armadas rusas lanzaron ataques con misiles contra la infraestructura energética en octubre. Si bien ESET no puede probar la coordinación entre estos ataques, prevé que Sandworm y el ejército ruso tengan el mismo objetivo.
ESET ha nombrado a NikoWiper como el último de una serie de software de limpieza de datos descubierto anteriormente. Este software se utilizó contra una empresa que opera en el sector energético en Ucrania en octubre de 2022. NikoWiper se basa en SDelete, una utilidad de línea de comandos que utiliza Microsoft para eliminar archivos de forma segura. Además del malware de borrado de datos, ESET descubrió ataques de gusanos de arena que usan ransomware como limpiador. Aunque se utiliza ransomware en estos ataques, el objetivo principal es destruir datos. A diferencia de los ataques de ransomware comunes, los operadores de Sandworm no proporcionan una clave de descifrado.
En octubre de 2022, ESET detectó que el ransomware Prestige se estaba utilizando contra empresas de logística en Ucrania y Polonia. En noviembre de 2022, se descubrió en Ucrania un nuevo ransomware escrito en .NET llamado RansomBoggs. ESET Research hizo pública esta campaña en su cuenta de Twitter. Junto con Sandworm, otros grupos APT rusos como Callisto y Gamaredon continuaron sus ataques de phishing dirigidos a Ucrania para robar credenciales e implantar implantes.
Los investigadores de ESET también detectaron un ataque de phishing MirrorFace dirigido a políticos en Japón y notaron un cambio de fase en la orientación de algunos grupos vinculados a China: Goblin Panda comenzó a copiar el interés de Mustang Panda en los países europeos. En noviembre, ESET descubrió un nuevo backdoor Goblin Panda al que llama TurboSlate en una agencia gubernamental de la Unión Europea. Mustang Panda también continuó apuntando a organizaciones europeas. En septiembre, se identificó una cargadora Korplug utilizada por Mustang Panda en una empresa del sector de energía e ingeniería de Suiza.
Los grupos vinculados a Irán también continuaron con sus ataques: POLONIUM comenzó a atacar a empresas israelíes, así como a sus subsidiarias extranjeras, y MuddyWater probablemente se infiltró en un proveedor de servicios de seguridad activo.
Los grupos vinculados a Corea del Norte han utilizado antiguas vulnerabilidades de seguridad para infiltrarse en empresas e intercambios de criptomonedas en todo el mundo. Curiosamente, Konni amplió los idiomas que usaba en sus documentos trampa, agregando el inglés a su lista; lo que podría significar que no se está enfocando en sus objetivos habituales de Rusia y Corea del Sur.
Sé el primero en comentar