En el Informe de Actividad de Amenazas Persistentes Avanzadas, ESET presenta una reveladora cartografía del ciberespionaje mundial, ofreciendo una visión detallada de la situación actual. La compañía comparte un panorama general de las actividades de distintos grupos APT, analizados en el cuarto trimestre de 2023 y el primer trimestre de 2024.
ESET publica su Informe de Actividad de Amenazas Persistentes Avanzadas
ESET ha publicado su Informe de Actividad de Amenazas Persistentes Avanzadas (APT), que resume las acciones de grupos notables desde octubre de 2023 hasta finales de marzo de 2024. Estas operaciones destacadas ofrecen una visión representativa del panorama más amplio de peligros seguidos por el equipo de investigación de ESET durante este período, revelando tendencias y desarrollos clave.
Tras el ataque liderado por Hamás contra Israel en octubre de 2023, y en medio de la guerra en curso en Gaza, ESET observó un aumento significativo en la actividad de los grupos amenazantes asociados con Irán. Los grupos vinculados a Rusia se han concentrado en operaciones de espionaje dentro de la Unión Europea y en ataques dirigidos a Ucrania. Por otro lado, varios actores de amenazas asociados con China han aprovechado vulnerabilidades en dispositivos públicos, como VPN, firewalls y software como Confluence y Microsoft Exchange Server, para obtener acceso inicial a objetivos en múltiples sectores. Los grupos asociados con Corea del Norte continuaron apuntando a empresas del sector aeroespacial y de defensa, así como a la industria de las criptomonedas.
“Los objetivos de la mayoría de las campañas fueron organizaciones gubernamentales y ciertos sectores verticales: por ejemplo, aquellos que fueron objeto de continuos e implacables ataques a la infraestructura ucraniana. Europa experimentó una gama más diversa de ataques por parte de diversos actores de amenazas. Los grupos alineados con Rusia reforzaron su enfoque en el espionaje en la Unión Europea, donde los actores de amenazas alineados con China también mantienen una presencia constante, lo que indica un interés continuo en los asuntos europeos por parte de los grupos alineados tanto con Rusia como con China”, comenta Jean-Ian Boutin, Director de Investigación de Amenazas de ESET.
Basándose en la filtración de datos de la empresa china de servicios de seguridad I-SOON (Anxun), el equipo de investigación de ESET confirma su implicación en actividades de ciberespionaje. ESET identifica una parte de las operaciones de la empresa bajo el nombre del grupo FishMonger. En este último informe, la compañía de ciberseguridad también presenta un nuevo grupo APT vinculado a China, CeranaKeeper, con características únicas y posibles conexiones con el grupo Mustang Panda.
Países, sectores objetivo y fuentes de ataque
En el caso de los grupos de amenazas relacionados con Irán, MuddyWater y Agrius han cambiado su enfoque anterior en ciberespionaje y ransomware a estrategias más agresivas, como la intermediación de acceso y los ataques de impacto. Mientras tanto, las actividades de OilRig y Ballistic Bobcat han experimentado una desaceleración, indicando un cambio hacia operaciones más notorias y disruptivas dirigidas a Israel.
En cuanto a la actividad relacionada con Rusia, la campaña Operación Texonto, una operación psicológica y de desinformación (PSYOP) descubierta por el equipo de investigación de ESET, difundió información falsa sobre las protestas rusas y la situación en la ciudad ucraniana de Kharkiv, generando incertidumbre entre los ucranianos a nivel nacional e internacional.
El informe también detalla la explotación de una vulnerabilidad de día cero en Roundcube por parte de Winter Vivern, un grupo alineado con los intereses de Bielorrusia, y destaca una campaña en Medio Oriente llevada a cabo por SturgeonPhisher, un grupo alineado con los intereses de Kazajstán, según el equipo de ESET.
“Los productos de ESET protegen los sistemas de sus clientes de las actividades maliciosas descritas en el informe. La inteligencia recolectada se basa principalmente en datos de telemetría patentados de ESET y ha sido verificada por el equipo de investigación, quienes preparan informes técnicos detallados y actualizaciones frecuentes de actividades que detallan las actividades de grupos APT específicos”, finaliza Jean-Ian Boutin.
Comentarios