La firma de ciberseguridad Recorded Future informa de una reciente campaña de ciberespionaje llevada a cabo por un grupo de hackers sospechosamente vinculado a Rusia y Bielorrusia. Esta organización, conocida como Threat Activity Group 70 (TAG-70), ha explotado vulnerabilidades de cross-site scripting (XSS) en servidores de correo web Roundcube para atacar más de 80 organizaciones, principalmente en Georgia, Polonia y Ucrania.
ESET ya había denunciado previamente la explotación de vulnerabilidades en Roundcube y otros software por parte de estos actores malintencionados, quienes se conocen como Winter Vivern o TA473 y UAC0114. Winter Vivern ha sido relacionado anteriormente con otros grupos de hackers que atacan software de correo electrónico, como APT28, APT29 y Sandworm. Este grupo de ciberdelincuentes ha estado activo desde diciembre de 2020 y ha sido vinculado a ataques contra organizaciones en Moldavia, Túnez y otros países.
En su última campaña, TAG-70 ha utilizado técnicas de ingeniería social y XSS en servidores de correo Roundcube para acceder de manera no autorizada a servidores de correo selectos, superando las defensas de organizaciones gubernamentales y militares. Su objetivo ha sido recopilar información relacionada con actividades políticas y militares europeas, y también se han detectado ataques contra servidores de correo del gobierno de Uzbekistán.
Recorded Future ha descubierto también que TAG-70 ha dirigido su atención a embajadas iraníes en Rusia y los Países Bajos, además de a la embajada georgiana en Suecia. Esto sugiere un interés más amplio en evaluar las actividades diplomáticas de Irán y en controlar las aspiraciones de Georgia para la adhesión a la UE y la OTAN.
En resumen, esta nueva campaña de ciberespionaje es una clara muestra de la sofisticación y habilidad de estos grupos de hackers, quienes utilizan técnicas avanzadas para alcanzar sus objetivos malintencionados. Es importante que las organizaciones tomen medidas preventivas para protegerse contra estos ataques y fortalecer la ciberseguridad de sus sistemas.
Vía The Hacker News
