Los analistas de Kaspersky llevan rastreando desde 2018 las campañas del grupo de hackers DeathStalker. Un análisis reciente muestra que el actor de la amenaza actualizó el conjunto de herramientas evasivas “VileRat” para atacar este año a empresas cambio de criptomonedas y divisas en Bulgaria, Chipre, Alemania, las Islas Granadinas, Kuwait, Malta, los Emiratos Árabes Unidos y Rusia.
DeathStalker es un actor APT de hackeo por encargo que Kaspersky lleva vigilando desde 2018, y que se dirige principalmente a bufetes de abogados y organizaciones del sector financiero. Se caracteriza porque sus ataques no parecen tener una motivación política o económica. Los analistas de Kaspersky creen que DeathStalker actúa como una organización mercenaria, ofreciendo servicios especializados de hacking.
En 2020, Kaspersky publicó un resumen del perfil y las actividades maliciosas de DeathStalker, incluyendo sus campañas Janicab, Evilnum, PowerSing y PowerPepper. A mediados de ese año, los expertos de la compañía descubrieron una nueva infección altamente evasiva, basada en el implante Python “VileRAT. Los expertos han seguido de cerca su actividad desde entonces y han descubierto que se dirigía a empresas de comercio de divisas (FOREX) y criptodivisas de todo el mundo.
VileRat suele distribuirse tras una compleja cadena de ataques que comienzan con correos electrónicos de spearphishing. Este verano, los atacantes también aprovecharon los chatbots integrados en las webs públicas de las empresas objetivo para enviar documentos maliciosos. Los documentos DOCX se nombran frecuentemente con las palabras clave “compliance” o “complaint” (así como el nombre de la empresa objetivo), sugiriendo que el atacante está respondiendo a una solicitud de identificación o informando de un problema, con el fin de ocultar el ataque.
VileRat suele distribuirse tras una compleja cadena de ataques que comienzan con correos electrónicos de spearphishing
La campaña VileRAT destaca por la sofisticación de sus herramientas y su extensa infraestructura maliciosa (en comparación con las actividades de DeathStalker previamente documentadas), las numerosas técnicas de ocultación que se utilizan a lo largo de la infección, así como su actividad continua desde 2020. Esta campaña demuestra que DeathStalker está realizando un enorme esfuerzo para desarrollar y mantener el acceso a sus objetivos, que van desde la recuperación de activos, el apoyo a los litigios o casos de arbitraje, hasta el trabajo en torno a las sanciones, pero todavía no parece tener un beneficio directo.
VileRat no muestra ningún interés en dirigirse a países concretos, ya que los analistas de Kaspersky afirman que sus ataques van dirigidos a todo el mundo, con organizaciones comprometidas en Bulgaria, Chipre, Alemania, las Islas Granadinas, Kuwait, Malta, los Emiratos Árabes Unidos y Rusia. Cabe señalar que las organizaciones identificadas van desde empresas de nueva creación hasta los grandes líderes de la industria.
“Escapar de la detección siempre ha sido un objetivo para DeathStalker, desde que lo rastreamos. Pero la campaña de VileRAT llevó esta búsqueda a otro nivel: es sin duda la campaña más intrincada, ofuscada y tentativamente evasiva que hemos identificado de este actor. Creemos que las tácticas y prácticas de DeathStalker son suficientes (y han demostrado serlo) para actuar sobre objetivos sin la experiencia suficiente para soportar el ataque en las que la seguridad no es una de sus principales prioridades “, comenta Pierre Delcher, Investigador Senior de Seguridad en el GReAT de Kaspersky.