DeathStalker es un actor APT formado por ciberdelincuentes que realizan hackeos “por encargo”, que normalmente atacan a bufetes de abogados y empresas financieras. Una de sus características es que no parecen tener una motivación económica o política. Más bien actúan como una organización mercenaria, ofreciendo sus servicios, al menos, esta es la conclusión a la que han llegado los investigadores de Kaspersky.
Desde 2020, la compañía de ciberseguridad han seguido la actividad de este grupo de ciberdelincuentes, descubriendo que, desde mediados de este año, están atacando a empresas de comercio de divisas (FOREX) y criptodivisas en todo el mundo.
La nueva infección es altamente evasiva y está basada en el implante Python VileRAT. Este suele distribuirse tras una compleja cadena de ataques que comienzan con correos electrónicos de spearphishing. Este verano, los atacantes también aprovecharon los chatbots integrados en las webs públicas de las empresas objetivo para enviar documentos maliciosos. Los documentos DOCX se nombran frecuentemente con las palabras clave «compliance» o «complaint» (así como el nombre de la empresa objetivo), sugiriendo que el atacante está respondiendo a una solicitud de identificación o informando de un problema, con el fin de ocultar el ataque.
Ciberdelincuentes muy sofisticados
Según indican desde Kaspersky, la campaña VileRAT destaca por la sofisticación de sus herramientas y su extensa infraestructura maliciosa (en comparación con las actividades de DeathStalker previamente documentadas), las numerosas técnicas de ocultación que se utilizan a lo largo de la infección, así como su actividad continua desde 2020. Esta campaña demuestra que los ciberdelincuentes de DeathStalker están realizando un enorme esfuerzo para desarrollar y mantener el acceso a sus objetivos, que van desde la recuperación de activos, el apoyo a los litigios o casos de arbitraje, hasta el trabajo en torno a las sanciones, pero todavía no parecen obtener un beneficio directo.
VileRat no muestra ningún interés en dirigirse a países concretos, ya que los analistas de Kaspersky afirman que sus ataques van dirigidos a todo el mundo, con organizaciones comprometidas en Bulgaria, Chipre, Alemania, las Islas Granadinas, Kuwait, Malta, los Emiratos Árabes Unidos y Rusia. Cabe señalar que las organizaciones identificadas van desde empresas de nueva creación hasta los grandes líderes de la industria.
“Escapar de la detección siempre ha sido un objetivo para DeathStalker, desde que lo rastreamos. Pero la campaña de VileRAT llevó esta búsqueda a otro nivel: es sin duda la campaña más intrincada, ofuscada y tentativamente evasiva que hemos identificado de este actor. Creemos que las tácticas y prácticas de DeathStalker son suficientes (y han demostrado serlo) para actuar sobre objetivos sin la experiencia suficiente para soportar el ataque en las que la seguridad no es una de sus principales prioridades «, comenta Pierre Delcher, Investigador Senior de Seguridad en el GReAT de Kaspersky.
