Los investigadores del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky identificaron recientemente dos campañas avanzadas que confirman la evolución del cibercrimen a nivel global: una operación de espionaje vinculada al antiguo grupo Hacking Team, hoy conocido como Memento Labs, y una serie de ataques financieros impulsados por inteligencia artificial (IA) ejecutados por el grupo BlueNoroff, una subdivisión del notorio Lazarus Group.
Ambos casos, reflejan cómo los actores
de amenazas más sofisticados combinan ingeniería social, automatización y
nuevas tecnologías para lograr sus objetivos, ya sea el espionaje político o el
robo de información financiera.
Después de varios años de silencio,
los expertos de Kaspersky descubrieron una nueva campaña de ciberespionaje
activa denominada Operation ForumTroll, vinculada a Memento Labs. Los atacantes
emplearon phishing personalizado —simulando invitaciones a un foro académico
ruso— para infiltrarse en medios de comunicación, instituciones financieras y
organismos gubernamentales.
Durante la investigación, los expertos
identificaron un spyware altamente sofisticado llamado LeetAgent, que usaba un
lenguaje de comandos poco común y estaba relacionado con otro programa aún más
avanzado: Dante, desarrollado comercialmente por Memento Labs.
“Esta operación ha estado activa al
menos desde 2022 y apunta principalmente a organizaciones en Rusia y
Bielorrusia, con indicios de que los atacantes no son hablantes nativos de
ruso. Revelar el origen de Dante fue un desafío que implicó desentrañar capas
de código oculto y seguir su evolución a lo largo de los años, pero el ataque
fue detectado gracias a Kaspersky Next XDR Expert, una de las soluciones
avanzadas de detección y respuesta de la compañía”, comentó Leandro Cuozzo,
analista de seguridad para América Latina en Kaspersky.
Paralelamente, Kaspersky detectó
nuevas campañas del grupo BlueNoroff, que utiliza herramientas impulsadas por
inteligencia artificial para crear ataques dirigidos a ejecutivos,
inversionistas y desarrolladores del sector cripto y Web3. Las operaciones denominadas
GhostCall y GhostHire— se propagan a través de videollamadas falsas y ofertas
de trabajo simuladas, respectivamente.
En GhostCall, que se enfoca
principalmente en dispositivos macOS, las víctimas reciben invitaciones a
reuniones de inversión y, durante la sesión, se les pide “actualizar el
cliente” de Zoom o Teams, instalando sin saberlo un malware en su equipo. En
GhostHire, el objetivo son desarrolladores y profesionales del sector
blockchain. Los atacantes se hacen pasar por reclutadores que envían pruebas
técnicas infectadas mediante GitHub y una vez que el candidato descarga y
ejecuta el archivo, el malware se instala en su computadora y se adapta
automáticamente al sistema operativo, ya sea Windows o macOS.
Los expertos advierten que la IA se ha
convertido en una aliada del cibercrimen, pues permite a los atacantes
desarrollar malware más rápido, crear sitios falsos más realistas y, por ende,
les resulta más fácil robar credenciales, información financiera y acceso
corporativo con precisión quirúrgica.
Para ayudar a las empresas y
organizaciones a evitar ser víctimas de operaciones como GhostCall y GhostHire,
los expertos de Kaspersky recomiendan:
● Verificar la identidad de cualquier
contacto antes de abrir archivos o enlaces recibidos por correo o redes
sociales.
No hay comentarios:
Publicar un comentario