Alertas de Seguridad

Nueva campaña de ciberespionaje DuneQuixote

Dirigida a entidades gubernamentales de todo el mundo

[19/04/2024] Los investigadores de Kaspersky han descubierto una campaña maliciosa en curso dirigida inicialmente a una entidad gubernamental de Oriente Medio. Una investigación posterior descubrió más de 30 muestras de dropper de malware empleadas activamente en esta campaña, ampliando supuestamente la victimología a APAC, Europa y Norteamérica. Bautizadas como DuneQuixote, las cadenas de malware incorporan fragmentos extraídos de poemas en español para mejorar su persistencia y eludir la detección, con el objetivo último del ciberespionaje.

"Como parte de la supervisión continua de la actividad maliciosa, los expertos de Kaspersky descubrieron en febrero del 2024 una campaña de ciberespionaje desconocida hasta entonces, dirigida a una entidad gubernamental de Oriente Próximo. El atacante espió de forma encubierta al objetivo y recopiló datos confidenciales utilizando un sofisticado conjunto de herramientas diseñadas para el sigilo y la persistencia, comentó Sergey Lozhkin, investigador principal de seguridad del GReAT (Global Research and Analysis Team) de Kaspersky, en el comunicado de prensa.

El investigador anotó que los droppers iniciales del malware se disfrazan de archivos instaladores manipulados de una herramienta legítima llamada Total Commander. Dentro de estos droppers, se incrustan cadenas de poemas en español, con diferentes cadenas de una muestra a otra. El objetivo de esta variación es alterar la firma de cada muestra, lo que dificulta su detección mediante las metodologías tradicionales.

El dropper lleva incrustado un código malicioso diseñado para descargar cargas útiles adicionales en forma de una puerta trasera denominada CR4T. "Estas puertas traseras, desarrolladas en C/C++ y GoLang, tienen como objetivo conceder a los atacantes acceso a la máquina de la víctima. En particular, la variante GoLang utiliza la API de Telegram para las comunicaciones C2, implementando enlaces públicos a la API de telegram de Golang, explicó Lozhkin.

Agregó que las variantes del malware muestran la adaptabilidad y el ingenio de los actores de amenazas detrás de esta campaña. "Por el momento, hemos descubierto dos implantes de este tipo, pero sospechamos firmemente de la existencia de otros adicionales.

La telemetría de Kaspersky identificó una víctima en Oriente Próximo en febrero del 2024. Además, a finales del 2023 se produjeron varias subidas del mismo malware a un servicio semipúblico de escaneado de malware, con más de 30 envíos. Otras fuentes sospechosas de ser nodos de salida VPN se encuentran en Corea del Sur, Luxemburgo, Japón, Canadá, Países Bajos y Estados Unidos.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »