Microsoft afirma haber desbaratado un prolífico grupo de amenazas ruso respaldado por el Estado y conocido por llevar a cabo largas campañas de ciberespionaje contra países de la OTAN principalmente.
En una actualización del 15 de agosto, el gigante tecnológico dijo que había desactivado las cuentas utilizadas por el grupo “Seaborgium” para el reconocimiento, el phishing y la recolección de correo electrónico, y actualizó las detecciones contra sus dominios de phishing en Microsoft Defender SmartScreen.
También conocido por los investigadores de amenazas como Callisto Group, ColdRiver, TA446 y otros apelativos, Seaborgium es un “actor de amenazas altamente persistente” que centra la mayor parte de su tiempo en los Estados Unidos y el Reino Unido, y ocasionalmente en los países bálticos, nórdicos y de Europa del Este.
Desde principios de año, ha atacado a más de 30 organizaciones: principalmente empresas de consultoría de defensa e inteligencia, organizaciones no gubernamentales (ONG) y organizaciones intergubernamentales (OIG), grupos de reflexión y educación superior.
El grupo también tiene como objetivo a individuos como ex funcionarios de inteligencia y ciudadanos rusos que viven en el extranjero, dijo Microsoft.
Después de realizar un reconocimiento de sus objetivos, el grupo puede intentar establecer una relación contactando con ellos en las redes sociales. Poco después, enviará un correo electrónico de suplantación de identidad que supuestamente contiene contenido de interés para el destinatario.
Las URLs maliciosas pueden estar ubicadas en el cuerpo del correo electrónico, un botón clicable diseñado para abrir un archivo adjunto, o un enlace de OneDrive que lleva al usuario a un archivo PDF que contiene una URL.
Una vez que Seaborgium tiene acceso a la cuenta de correo electrónico de la víctima, tratará de filtrar datos de inteligencia y, en ocasiones, se dirigirá a otras personas de interés a través de estas cuentas comprometidas para acceder a información sensible.
A veces, incluso establece reglas de reenvío desde las bandejas de entrada de las víctimas para permitir la recopilación persistente de datos.
Con información de El País.