Después de una década desapareciendo del panorama de la ciberseguridad, el grupo de amenazas Careto, también conocido como "The Mask", ha resurgido con sofisticados nuevos métodos de ataque dirigidos a organizaciones de alto perfil. Investigadores de seguridad han identificado nueva evidencia de la actividad de Careto, revelando cómo el grupo ha evolucionado sus tácticas para comprometer infraestructuras críticas y mantener un acceso persistente a redes sensibles. El grupo Careto ha estado llevando a cabo ciberataques avanzados desde al menos 2007, tradicionalmente centrándose en agencias gubernamentales, entidades diplomáticas e instituciones de investigación. Careto, también conocido como The Mask, resurge después de una década, lanzando ataques avanzados contra objetivos de alto perfil e infraestructuras críticas. Conocido por desplegar exploits de día cero para entregar implantes complejos, Careto permaneció en silencio después de principios de 2014, dejando a los expertos en seguridad inciertos sobre las futuras actividades del grupo. Sin embargo, investigaciones detalladas sobre recientes grupos de ataques dirigidos han confirmado que el grupo está operando activamente una vez más, demostrando un preocupante regreso a la prominencia. Analistas e investigadores de Securelist identificaron las recientes campañas del grupo, con evidencia notable de ataques dirigidos a una organización en Latinoamérica durante 2022. Lo que hace que este resurgimiento sea particularmente preocupante es el enfoque refinado del grupo para obtener y mantener el control dentro de las redes comprometidas.

Explotación del Servidor de Correo MDaemon y Persistencia con WorldClient

El nuevo método de infección del grupo revela un cambio hacia el objetivo de la infraestructura de correo electrónico. Tras vulnerar la red de una víctima, los atacantes obtuvieron acceso al servidor de correo electrónico MDaemon, un centro de comunicación crítico. En lugar de desplegar malware obvio, Careto utilizó una técnica de persistencia inteligente aprovechando el componente de correo web WorldClient de MDaemon, que permite cargar extensiones personalizadas. Los atacantes compilaron una extensión maliciosa y modificaron el archivo de configuración WorldClient.ini, añadiendo entradas que redirigían las solicitudes HTTP a su código personalizado. Específicamente, configuraron el parámetro CgiBase6 para que apuntara a "/WorldClient/mailbox" y establecieron CgiFile6 en su DLL malicioso, permitiéndoles interactuar con la extensión a través del tráfico webmail normal. Esta técnica demostró ser notablemente efectiva porque se mezclaba con las operaciones de correo electrónico legítimas. Desde este punto de apoyo, Careto desplegó el implante FakeHMP, previamente desconocido, en toda la red utilizando una sofisticada estrategia de movimiento lateral. El grupo aprovechó controladores de sistema legítimos, particularmente el controlador HitmanPro Alert (hmpalert.sys), para inyectar código malicioso en procesos de Windows privilegiados como winlogon.exe y dwm.exe. El implante FakeHMP proporcionó a los atacantes capacidades de vigilancia exhaustivas, incluyendo el registro de pulsaciones de teclas, la captura de pantallas, la recuperación de archivos y el despliegue de cargas útiles adicionales. Este resurgimiento demuestra que Careto sigue siendo una amenaza formidable, combinando décadas de experiencia operativa con métodos de infección innovadores que explotan componentes de software legítimos para una máxima discreción y persistencia.


Fuentes:
https://cybersecuritynews.com/careto-hacker-group-is-back-after-10-years-of-silence/