ESET: Descubrimiento contra el ciberespionaje

En Comunicado nos detallan

DESCUBREN UN NUEVO BACKDOOR UTILIZADO POR GRUPO QUE
REALIZA OPERACIONES DE CIBERESPIONAJE


Investigadores de ESET descubrieron backdoor que tiene fuertes vinculaciones con
Stealth Falcon, un grupo conocido por llevar adelante ataques espía dirigidos contra
periodistas, activistas y disidentes en el Medio Oriente


ESET, compañía líder en detección proactiva de amenazas, descubrió nuevo
backdoor (troyano que permite el acceso al sistema infectado y su control remoto)
utilizado por el grupo de ciberdelincuentes Stealth Falcon, que realiza operaciones de
ciberespionaje contra activistas políticos y periodistas en Oriente Medio.
El backdoor descubierto por ESET permite al atacante controlar la computadora
comprometida de forma remota. Identificaron objetivos en los Emiratos Árabes, Arabia
Saudita, Tailandia y los Países Bajos; en este último caso, el objetivo era una misión
diplomática de un país de Medio Oriente.


Stealth Falcon es un grupo de amenazas activo desde 2012 conocido por ataques
dirigidos a activistas políticos y periodistas. Según diversos analistas, estos ataques
estarían encuadrados dentro del Proyecto Raven, una iniciativa en la que estarían
trabajando antiguos profesionales de la Agencia de Seguridad Nacional de EEUU.
De momento, sólo se ha hecho pública cierta información técnica sobre los
ataques, entre la que se incluye un análisis del componente clave del malware, un
backdoor basado en PowerShell que se distribuye en un documento infectado a través
de correo electrónico.


Según analistas de ESET, el backdoor utiliza una técnica poco común para la
comunicación con el C&C (mando y control – command and control, en inglés), y
algunas técnicas avanzadas para evitar la detección y el análisis, y para garantizar la
persistencia y complicar el análisis forense.
Las similitudes en el código y la infraestructura con un malware previamente
conocido y creado por Stealth Falcon llevan a ESET a la conclusión de que el backdoor
también es el trabajo de este grupo de amenazas, confirmando que se trata de los
mismos atacantes.

Acerca del autor

Hugo Londoño

Habitante de Internet / Diseñador / Editor y Bloguero de @ConCafe / Actualizo a @DosPuntoUno ideas en Social Media

Ver todos los artículos