Se ha atribuido al agente de amenazas APT29 (alias Cozy Bear), vinculado a Rusia, una campaña de ciberespionaje en curso dirigida contra ministerios de asuntos exteriores y entidades diplomáticas situadas en Estados miembros de la OTAN, la Unión Europea y África.

Según el Servicio de Contrainteligencia Militar de Polonia y el equipo CERT Polska, la actividad observada comparte solapamientos tácticos con un clúster rastreado por Microsoft como Nobelium, conocido por su sonado ataque a SolarWinds en 2020.

Las operaciones de Nobelium se han atribuido al Servicio de Inteligencia Exterior de Rusia (SVR), una organización que tiene la tarea de proteger a “los individuos, la sociedad y el Estado de las amenazas extranjeras.”

Dicho esto, la campaña representa una evolución de las tácticas del grupo de piratas informáticos respaldado por el Kremlin, lo que indica intentos persistentes de mejorar su armamento cibernético para infiltrarse en los sistemas de las víctimas con el fin de recabar información de inteligencia.

“Se utilizaron nuevas herramientas al mismo tiempo e independientemente unas de otras, o sustituyendo a aquellas cuya eficacia había disminuido, lo que permitió al actor mantener un ritmo operativo continuo y elevado”, señalan las agencias.

Los ataques comienzan con correos electrónicos de spear-phishing que suplantan la identidad de embajadas europeas y que pretenden atraer a diplomáticos para que abran archivos adjuntos con malware bajo la apariencia de una invitación o una reunión.

El PDF adjunto contiene una URL trampa que conduce a la instalación de un dropper HTML llamado EnvyScout (también conocido como ROOTSAW), que se utiliza como conducto para distribuir tres cepas desconocidas hasta ahora: SNOWYAMBER, HALFRIG y QUARTERRIG.

Info – Ciberseguridad Latam