Más de 300 muestras de una puerta trasera llamada Bisonal vinculadas a la campaña del agente de amenaza avanzada persistente (APT, por sus siglas en inglés) CactusPete, un grupo de ciberespionaje activo por lo menos desde 2012, fueron detectadas por la firma de ciberseguridad Kaspersky en objetivos militares y financieros en Europa Oriental. El objetivo, afirman, es obtener acceso a información “altamente confidencial” de las instituciones.
Kaspersky advierte que esta es una muestra de lo rápido que se crean las nuevas muestras de malware sugiere que el grupo se está desarrollando rápidamente, por lo que emitió una alerta a las organizaciones atacadas.
La ola más reciente de actividad fue detectada por investigadores de Kaspersky en febrero de 2020, cuando descubrieron una versión actualizada de la puerta trasera Bisonal del grupo. Al usar Kaspersky Threat Attribution Engine, una herramienta que analiza el código malicioso para buscar similitudes con los utilizados por los agentes de amenazas conocidos para determinar qué grupo es responsable de un ataque, vincularon esta muestra con más de 300 utilizadas libremente en el mundo.
“CactusPete es un grupo APT bastante interesante porque en realidad no es tan avanzado, como tampoco lo es la puerta trasera Bisonal. Su éxito no proviene de una tecnología sofisticada o de tácticas complejas de distribución y ofuscación, sino de una aplicación exitosa de tácticas de ingeniería social. Pueden tener éxito en infectar objetivos de alto nivel porque sus víctimas hacen clic en los correos electrónicos de phishing y abren los archivos adjuntos maliciosos. Este es un gran ejemplo de por qué el phishing sigue siendo un método tan eficaz para lanzar ataques cibernéticos, y por qué es tan importante que las empresas proporcionen a sus empleados capacitación sobre cómo detectar dichos correos electrónicos y mantenerse actualizados sobre la inteligencia contra amenazas más reciente, para que puedan detectar a un agente avanzado”, expuso en un comunicado Konstantin Zykov, investigador sénior de seguridad en Kaspersky.
Las 300 muestras aparecieron entre marzo de 2019 y abril de 2020, aproximadamente 20 muestras por mes, lo que subraya el hecho de que CactusPete se está desarrollando rápidamente. En efecto, el grupo ha seguido perfeccionando sus capacidades, pues en 2020 ha logrado acceso a un código más complejo como lo es ShadowPad.
Una vez instalada en el dispositivo de la víctima, la puerta trasera Bisonal que emplean permite al grupo iniciar sigilosamente varios programas, terminar procesos, subir, bajar y eliminar archivos, así como recuperar una lista de las unidades de disco disponibles. Además, a medida que los operadores se adentran más en el sistema infectado, instalan detectores de pulsaciones de teclas para recopilar credenciales y descargar malware de escalada de privilegios, para así obtener gradualmente mayor control sobre el sistema.
La compañía afirma que no está claro cómo se descargó inicialmente la puerta trasera en esta última campaña. “En el pasado, CactusPete se ha valido principalmente del spear-phishing con correos electrónicos que contienen archivos adjuntos maliciosos. Si ese archivo adjunto es abierto, el dispositivo queda infectado”, aclaró.
