Resumen de las actividades de grupos APT en primer y segundo semestre 2023

El informe ESET APT Activity Report Q2-Q3 2023 resume las actividades de grupos seleccionados de amenazas persistentes avanzadas (APT) que fueron observadas, investigadas y analizadas por los investigadores de ESET desde abril de 2023 hasta finales de septiembre de 2023.

En el período monitoreado, observamos una estrategia notable de grupos de APT que utilizan la explotación de vulnerabilidades conocidas para filtrar datos de entidades gubernamentales u organizaciones relacionadas.

Sednit y Sandworm, alineados con Rusia, Konni, alineado con Corea del Norte, y Winter Vivern y Sturgeon Phisher, sin distribución geográfica, aprovecharon la oportunidad de explotar vulnerabilidades en WinRAR (Sednit, SturgeonPhisher y Konni), Roundcube (Sednit y Winter Vivern), Zimbra (Winter Vivern) y Outlook para Windows (Sednit) para atacar a varias organizaciones gubernamentales de Ucrania, Europa y Asia Central.

En cuanto a los actores de amenazas alineados con China, GALLIUM probablemente explotó debilidades en servidores Microsoft Exchange o servidores IIS, extendiendo su objetivo desde operadores de telecomunicaciones a organizaciones gubernamentales de todo el mundo; MirrorFace probablemente explotó vulnerabilidades en el servicio de almacenamiento en línea Proself; y TA410 probablemente explotó fallos en el servidor de aplicaciones Adobe ColdFusion.

Los grupos alineados con Irán y Oriente Próximo siguieron operando a gran escala, centrándose principalmente en el espionaje y el robo de datos a organizaciones de Israel. Cabe destacar que MuddyWater, alineado con Irán, también atacó a una entidad no identificada de Arabia Saudí, desplegando una carga útil que sugiere la posibilidad de que este actor de amenazas sirviera como equipo de desarrollo de acceso para un grupo más avanzado.

El principal objetivo de los grupos alineados con Rusia siguió siendo Ucrania, donde descubrimos nuevas versiones de los conocidos wipers RoarBat y NikoWiper, y un nuevo wiper que denominamos SharpNikoWiper, todos desplegados por Sandworm. Curiosamente, mientras que otros grupos, como Gamaredon, GREF y SturgeonPhisher, tienen como objetivo intentar exfiltrar información, o al menos algunos metadatos, de usuarios de Telegram, Sandworm utiliza activamente este servicio con fines de medida activa, anunciando sus operaciones de cibersabotaje. Sin embargo, el grupo más activo en Ucrania siguió siendo Gamaredon, que mejoró significativamente sus capacidades de recopilación de datos mediante el redesarrollo de herramientas existentes y el despliegue de otras nuevas.

Los grupos alineados con Corea del Norte siguieron centrándose en Japón, Corea del Sur y entidades centradas en Corea del Sur, empleando correos electrónicos de spearphishing cuidadosamente elaborados.

El esquema Lazarus más activo observado fue la Operación DreamJob, que atraía a los objetivos con falsas ofertas de trabajo para puestos lucrativos. Este grupo demostró sistemáticamente su capacidad para crear malware para las principales plataformas de escritorio.

Por último, nuestros investigadores descubrieron las operaciones de tres grupos alineados con China no identificados previamente: DigitalRecyclers, que comprometió repetidamente una organización gubernamental en la UE; TheWizards, que llevó a cabo ataques adversary-in-the-middle; y PerplexedGoblin, dirigido a otra organización gubernamental en la UE.

Las actividades maliciosas descritas en el Informe de Actividad APT de ESET Q2-Q3 2023 son detectadas por los productos de ESET; la inteligencia compartida se basa principalmente en datos de telemetría propiedad de ESET y ha sido verificada por los investigadores de ESET.

Los países, regiones y verticales afectados por los grupos de APT descritos en este informe incluyen: