Actualizado el 17/12/2024

icon Facebook icon Twiiter icon RSS icon EMAIL
  1. Portada
  2. >
  3. Noticias
  4. >
  5. ESET Research desvela las operaciones de Gamaredon

ESET Research desvela las operaciones de Gamaredon

Escrito por Agencias Externas el 22/10/2024 a las 22:08:03
346

ESET Research ha analizado las actividades de Gamaredon, un grupo APT alineado con Rusia que opera desde al menos 2013 y que actualmente es el más activo en Ucrania. Según el Servicio de Seguridad de Ucrania (SSU), Gamaredon está vinculado al 18º Centro de Seguridad de la Información del FSB ruso, con base en la Crimea ocupada. ESET también ha descubierto que este grupo colabora con otro actor de ciberamenazas: InvisiMole, descubierto por los investigadores de la misma compañía. Aunque la mayoría de sus operaciones de ciberespionaje están dirigidas a instituciones gubernamentales ucranianas, en abril de 2022 y febrero de 2023 se identificaron intentos de comprometer objetivos en países de la OTAN como Bulgaria, Letonia, Lituania y Polonia. A pesar de ello, no se registraron brechas exitosas.


Gamaredon emplea técnicas de ofuscación en constante cambio y un conjunto variado de estrategias para evadir los bloqueos basados en dominios, lo que complica la detección automatizada de sus herramientas. Sin embargo, los investigadores de ESET lograron identificar y monitorizar sus actividades, revelando que Gamaredon había estado utilizando sus herramientas maliciosas desde mucho antes de la invasión rusa de Ucrania de febrero de 2022. Para expandir su red de víctimas, el grupo recurre a campañas de spearphishing, tras lo cual utiliza malware personalizado que convierte en armas archivos de Word y unidades USB, confiando en que las víctimas iniciales compartan estos archivos con otros potenciales objetivos.


"A diferencia de otros grupos APT, Gamaredon no se preocupa por mantenerse oculto usando técnicas sofisticadas durante sus operaciones de ciberespionaje. Sus operadores son bastante imprudentes y no les importa ser detectados”, explica el investigador de ESET Zoltán Rusnák, quien investigó a Gamaredon. “Sin embargo, se esfuerzan mucho en evitar ser bloqueados por las soluciones de seguridad y en asegurarse de mantener acceso a los sistemas que han comprometido”.


En 2023, Gamaredon mejoró notablemente sus capacidades de ciberespionaje, desarrollando nuevas herramientas en PowerShell diseñadas para robar datos sensibles de aplicaciones de correo electrónico, mensajería instantánea como Signal y Telegram, y aplicaciones web ejecutadas en navegadores. Entre sus desarrollos más recientes se encuentra PteroBleed, un infostealer descubierto por ESET en agosto de 2023, centrado en sustraer datos de un sistema militar ucraniano y del servicio de correo web de una institución gubernamental.


“Gamaredon suele asegurar su acceso implementando varios descargadores simples o backdoors de manera simultánea. Aunque sus herramientas carecen de sofisticación, esto se compensa con frecuentes actualizaciones y una ofuscación que cambia constantemente”, continúa Rusnák. “A pesar de la simplicidad relativa de sus métodos, el enfoque agresivo y persistente de Gamaredon lo convierte en una amenaza importante. Sobre todo en Ucrania, ya que, dada la guerra en curso en la región, es probable que continúe enfocando sus operaciones en el país”.


Para acceder al análisis completo de las herramientas y actividades de Gamaredon, ESET Research ha publicado un informe titulado “Ciberespionaje al estilo Gamaredon: Análisis del conjunto de herramientas utilizadas para espiar a Ucrania en 2022 y 2023”, disponible en WeLiveSecurity.com.