Cobalt Strike, desarrollado para pruebas de penetración o emulación de amenazas, ha sido cada vez más explotado por grupos cibercriminales —especialmente aquellos asociados con amenazas persistentes avanzadas (APT, sus siglas en inglés)— en campañas de ciberespionaje contra agencias gubernamentales alrededor del mundo. "Cobalt Strike tiene como objetivo la seguridad ofensiva, al igual que muchas otras soluciones legítimas disponibles en el mercado. Sin embargo, su estructura robusta acaba atrayendo a los ciberdelincuentes, que subvierten su uso y la emplean en ataques dirigidos a empresas e instituciones", explica Daniel Barbosa, investigador de seguridad de ESET Brasil.

Originalmente fue desarrollada para simular ataques reales, en actividades de pentesting, y para ayudar a los expertos en seguridad a identificar vulnerabilidades, pero se ha vuelto muy explotada por ciberdelincuentes con objetivos muy diferentes. Un ejemplo reciente es la Operación FishMedley, investigada por ESET este año, en la que el grupo FishMonger utilizó Cobalt Strike para realizar actividades de espionaje.

Otro caso emblemático ocurrió en 2022, cuando los operadores del ransomware Conti lanzaron ataques contra instituciones gubernamentales en Costa Rica utilizando la misma herramienta. En 2019, el grupo Lazarus utilizó Cobalt Strike para atacar bancos e instituciones financieras con el fin de infiltrarse en redes, implantar backdoors y exfiltrar datos confidenciales de clientes y transacciones.

Además, en 2018, el grupo APT29 también utilizó Cobalt Strike para infiltrarse en redes del sector energético estadounidense, ejecutar payloads y robar información confidencial, como credenciales de inicio de sesión y datos financieros. Lo mismo ocurrió en 2022 con el grupo Mustang Panda APT, que llevó a cabo ataques contra proveedores de servicios de Internet y misiones diplomáticas europeas.

Cómo se utiliza Cobalt Strike

Para atacar los sistemas de empresas o instituciones públicas, Cobalt Strike puede aprovecharse de una vulnerabilidad de seguridad ya conocida o incluso utilizar la ingeniería social a través de campañas de phishing selectivo (o spearphishing), una táctica en la que se engaña a la víctima para que descargue un archivo malicioso a través de un archivo adjunto en un correo electrónico o un enlace falso.

Con acceso a la máquina atacada, el programa instala un payload baliza (o beacon payload) que se instala en el sistema de la víctima. Este archivo, que también funciona como backdoor, se comunica con el atacante y ejecuta las órdenes enviadas por él.

Esta comunicación puede tener lugar a través de HTTP, HTTPS, DNS o incluso SMB. Esto puede permitir a los ciberdelincuentes moverse lateralmente, escalar privilegios, recopilar documentos e información confidencial, capturar pantallas, grabar teclados y abrir shells en sistemas de empresas o instituciones, como hemos visto recientemente en ataques a organismos gubernamentales.

Cómo protegerse

Los ataques llevados a cabo por ciberdelincuentes que utilizan Cobalt Strike suelen tener como objetivo empresas e instituciones. He aquí algunos consejos que pueden mitigar este tipo de actividad delictiva:

  • Utiliza un software antivirus potente que ofrezca protección contra ransomware o una herramienta de eliminación de malware que a evitar que nuevas amenazas infecten su dispositivo.
  • Mantenga el dispositivo actualizado: actualice siempre los controladores y el software para corregir vulnerabilidades conocidas.
  • Active la autenticación de dos factores autenticación de dos factores para dificultar accesos indebidos.
  • Confíe en su instinto: cuando un mensaje de correo electrónico le parezca extraño, como una dirección de correo extraña, una ortografía o un formato diferentes, o una solicitud para hacer clic en un enlace o descargar un archivo zip, confíe en su instinto, porque podría tratarse de un intento de phishing.