La rápida propagación del coronavirus por todo el mundo ha venido aparejada de cambios en el panorama de ciberseguridad desde la primera mitad de 2020. Los ciberdelincuentes siguen explotando técnicas de ingeniería social con cebos que irremediablemente llaman la atención sobre algún tema en particular relacionado con la pandemia.
En algunas investigaciones públicas se habla de varios grupos APT con origen en China que han adoptado cebos sobre la Covid-19 en los últimos meses para lanzar campañas de espionaje a distintos objetivos ya establecidos y otros en expansión. Precisamente, el pasado marzo, desde Proofpoint detectaron una de estas campañas en las que los ciberdelincuentes enviaban unas supuestas directrices con las que hacer frente al coronavirus de parte de la Organización Mundial de la Salud (OMS) con el fin de distribuir una nueva familia de malware, a la que los investigadores han denominado Sepulcher, entre organismos diplomáticos y legislativos europeos, centros de investigación sin ánimo de lucro sobre políticas y organizaciones globales de asuntos económicos.
Las cuentas desde las que se remitían dichos mensajes apuntaban al grupo TA413 como autor de la amenaza, pese a que su actividad había estado ligada hasta entonces a históricas campañas en contra de la diáspora tibetana. Así, desviándose de su blanco habitual de ataques, este grupo de ciberespionaje asociado a los intereses del gobierno chino recurrió al exitoso gancho de la Covid-19 para recopilar información acerca de la salud de las economías occidentales en mitad de la pandemia, aprovechándose de la situación de urgencia mundial para atraer a sus víctimas con un nuevo malware lejos de definirse como innovador.
Los correos electrónicos pertenecientes a esta campaña contenían un archivo adjunto en formato de texto enriquecido (RTF) que simulaba ser el documento titulado Critical preparedness, readiness and response actions for COVID-19, Interim guidance, que la OMS publicó inicialmente el pasado 7 de marzo. Los ciberdelincuentes empezaron a circular dicho adjunto malicioso el 16 de marzo que, al ejecutarse, explotaba una vulnerabilidad del editor de ecuaciones de Microsoft, instalando un metarchivo de Windows (WMF) que finalmente entregaba el malware. Según los expertos en ciberseguridad, esta táctica con documentos RTF no es más que una variante de otro método que siguen números grupos de ciberdelincuencia en China.
Desde Proofpoint comentan, no obstante, que en el caso del TA413 este reajuste de enfoque en sus ataques parece haber sido solo por un interés a corto plazo. El mismo grupo APT ha sido vinculado a finales de julio a otras campañas de amenazas dirigidas de nuevo hacia la comunidad tibetana, lo que demuestra una vez más la constante evolución de las ciberamenazas durante este año.
Me interesa
- Prioridades para ayudar a las organizaciones a reforzar su seguridad
- Los 5 elementos clave de una estrategia de ciberseguridad óptima para la vuelta al trabajo
- El troyano Qbot secuestra hilos de correo electrónico para engañar a las víctimas y obtener sus credenciales
- El TA542 regresa con Emotet como principal amenaza por volumen de mensajes
- TA2719: el nuevo actor de amenazas que distribuye troyanos de acceso remoto con señuelos llamativos en varios idiomas
