Un grupo de piratas informáticos ligados al Servicio de Inteligencia Extranjera de Rusia (SVR) ha sido identificado como el creador del backdoor WINELOADER utilizado en recientes ataques cibernéticos contra entidades diplomáticas. Según la firma de seguridad Mandiant, estos hackers, también conocidos como Midnight Blizzard, APT29, BlueBravo o Cozy Bear, utilizaron el malware para atacar a partidos políticos alemanes con correos electrónicos phising. El backdoor fue revelado por Zscaler ThreatLabz el mes pasado como parte de una campaña de espionaje cibernético que se cree que ha estado en marcha desde julio de 2023 y supone una posible evolución en el modus operandi del grupo, que hasta ahora se había centrado principalmente en misiones diplomáticas.
El sofisticado ataque se aprovecha de correos electrónicos phising que parecen ser invitaciones a cenas en alemán y que incluyen enlaces falsos a archivos HTML Application que descargan el malware. El archivo falso ROOTSAW (también conocido como EnvyScout) es el conducto principal para enviar el backdoor WINELOADER desde un servidor remoto al host comprometido. Este backdoor puede contactar a un servidor controlado por los hackers para recuperar módulos adicionales y ejecutarlos en los hosts afectados. WINELOADER comparte similitudes con otras familias de malware conocidas utilizadas por APT29, como BURNTBATTER, MUSKYBEAT y BEATDROP, lo que sugiere la existencia de un desarrollador común.
El grupo ha utilizado WINELOADER en operaciones contra entidades diplomáticas en varios países, incluyendo la República Checa, Alemania, India, Italia, Letonia y Perú, y también se cree que está detrás de otros ataques recientes. Mientras tanto, los fiscales alemanes han acusado a un oficial militar de delitos de espionaje en nombre de los servicios de inteligencia rusos.
La identificación de este grupo y su conexión con estas operaciones ilícitas es una señal clara de que los ataques cibernéticos son una amenaza cada vez mayor. Ser capaz de identificar y defenderse contra estos ataques es crucial para empresas y organizaciones políticas que buscan proteger su información confidencial.
Vía The Hacker News
