Durante más de una década, las organizaciones gubernamentales y de defensa de la India han operado bajo una constante sombra digital. Un ecosistema de espionaje estrechamente conectado, que involucra principalmente al grupo Transparent Tribe (APT36) y al clúster alineado SideCopy, ha seguido sondeando y adaptándose. Estos actores dependen de tácticas probadas como el phishing dirigido y documentos armados para infiltrarse.

A finales de enero pasado, los afectados eran cuatro operadores de un sector industrial español clave. En febrero, el Centro Criptológico Nacional constataba que los atacantes habían volcado la configuración de 90 routers; trataban de extenderse a los clientes de la firma. En septiembre lo volvieron a intentar en otros 22. Detrás de las intrusiones ha resultado estar Salt Typhoon, uno de los entramados de ciberespionaje más perseguidos en Occidente.

APT36 ha perfeccionado su arsenal con técnicas de camuflaje, ahora utilizan archivos disfrazados de PDF, pero en realidad son .desktop ejecutables, para infiltrarse y mantener presencia en sistemas de infraestructuras críticas de India.

En un movimiento inusual de colaboración, Microsoft, CrowdStrike, Palo Alto Networks y Google han anunciado la creación de un glosario público para poner orden al caótico zoológico de alias con que la industria describe a los grupos de actores estatales y criminales. La iniciativa busca que, cuando un analista lea «Forest Blizzard» o «Fancy Bear», sepa inmediatamente a qué actor se refiere, sin perder tiempo en equivalencias.

APT 3.0 es la nueva versión estable de Advanced Packaging Tool, el veterano gestor de paquetes de Debian y de toda distribución basada en su paquetería (DEB), incluyendo Ubuntu y derivadas. Una herramienta que se renueva con novedades destacadas no solo por sus mejoras técnicas, sino también por la atención puesta en la experiencia del usuario.

Rusos desarrollaron una técnica nunca antes vista para acceder a un ordenador vía remota. El grupo APT28, también conocido como Fancy Bear, ejecutó un ataque sin precedentes saltando de una red Wi-Fi a otra para controlar un portátil. El hackeo se llevó a cabo hace dos años en Washington, D.C., el distrito en donde se ubica la Casa Blanca y el Capitolio de Estados Unidos.

La empresa de software de acceso remoto TeamViewer advierte que su entorno corporativo fue vulnerado ayer en un ciberataque, y una empresa de ciberseguridad afirmó que fue perpetrado por un grupo de APT ruso.

Microsoft ha alertado sobre una brecha de seguridad en varias de sus cuentas corporativas de correo electrónico, atribuida al grupo de ciberdelincuentes vinculado a Rusia conocido como Midnight Blizzard. La filtración ya ha sido notificada por la compañía a la policía y las autoridades regulatorias pertinentes.

Investigadores del Threat Analysis Group (TAG) de Google presentaron sus hallazgos en el Informe Threat Horizons de la compañía. Mostraron que el grupo APT41 estaba haciendo un mal uso del herramienta GC2 (Google Command and Control) en sus ataques. GC2, también conocido como Google Command and Control, es un proyecto de código abierto creado específicamente para operaciones de equipos rojos. Fue escrito en el lenguaje de programación Go. GC2 (Comando y Control de Google) es una aplicación de Comando y Control que permite a un adversario filtrar datos usando Google Drive y ejecutar instrucciones en el sistema de destino usando Google Sheet. Durante las operaciones de Red Teaming, este software se construyó para brindar un comando y control que no necesita ninguna configuración específica (como un dominio personalizado, VPS, CDN, etc.). Esto se hizo con el fin de hacer la aplicación más accesible.

El FBI asegura que fueron actores maliciosos apoyados por Corea del Norte, los que robaron 100 millones de dólares en criptomonedas.

Detectan una campaña de distribución de malware que recurre a un método nunca vista antes: utilizar los registros de eventos de Windows para ocultar en ellos el malware… un método que ha permitido a los atacantes difundirlo sin llamar la atención, dadas las pocas alarmas que levanta un ataque de esas características.

Más de 30.000 activistas de los derechos humanos, periodistas y abogados de todo el mundo podrían haber sido víctimas del espionaje Pegasus, un “software de vigilancia legal” desarrollado por la empresa israelí NSO. En el informe, llamado el Proyecto Pegasus, se afirmaba que el malware se había desplegado mediante varios exploits, incluidos varios de día cero y cero clics en iOS. Pegasus, Chrysaor y otras APT

Tal es la amplitud y la extensión de los posibles usuarios afectados por el spyware que cualquier usuario puede comprobar si su teléfono ha sido infectado por Pegasus. Para ello, un grupo de investigadores implicados en el caso, desarrolló una herramienta escrita en Python que "verifica" si el teléfono móvil ha sido infectado con Pegasus mediante indicadores de compromiso. El problema es que la herramienta no es muy intuitiva, no dispone de GUI (interfaz gráfica), son comandos vía terminal y requiere de algunos conocimientos básicos (además no tiene soporte nativo para Windows), así como de realizar previamente una copia de seguridad.

Un repaso a las técnicas de acceso inicial de las que posiblemente no haya oído hablar antes. Es poco probable que los encuentre en el marco Mitre ATT&CK y es poco probable que sucedan día a día, pero son perfectamente válidos para los atacantes persistentes. La forma de implementar la detección de estas técnicas también depende del modelo de amenaza y de quién está tratando de atacar.

El grupo de APT Lazarus, conocidos por su vinculación con el ransomware WannaCry, o ataques a grandes firmas tales como Sony y múltiples bancos a nivel internacional, ha reaparecido con un nuevo método para difundir malware aprovechándose de Windows Update.

Investigadores de ciberseguridad han ofrecido una visión detallada de un sistema llamado DoubleFeature que se dedica a registrar las diferentes etapas de posexplotación derivadas del despliegue de DanderSpritz, un marco de malware con todas las funciones utilizado por Equation Group .

 Las agencias de inteligencia de los EE. UU, Australia y Reino Unido publicaron un boletín conjunto que detalla las vulnerabilidades más explotadas en 2020 y 2021, demostrando una vez más cómo los threat actors pueden rápidamente convertir en armas los fallos publicados en su beneficio. Las 30 vulnerabilidades principales abarcan una amplia gama de software, incluido el trabajo remoto, las redes privadas virtuales (VPN) y las tecnologías basadas en la nube, que cubren un amplio espectro de productos de Microsoft, VMware, Pulse Secure, Fortinet, Accellion, Citrix, F5. Big IP, Atlassian y Drupal.

Los ataques avanzados actuales son cada vez más difíciles de detectar. Mediante técnicas que aisladamente parecen comportamientos rutinarios, un atacante puede acceder a su infraestructura y permanecer sin ser detectado durante meses, lo que aumenta significativamente el riesgo de una costosa vulneración de datos. Cuando ves que un antivirus no es suficiente para proteger a tu empresa de un ataque de ransomware es cuando un EDR se convierte en imprescindible.