Las complejas técnicas de ciberespionaje de TA402 en Oriente Medio

Según un informe del equipo de investigación sobre amenazas de Proofpoint, el grupo de amenaza persistente avanzada (APT) TA402 sigue operando contra entidades gubernamentales que tienen su sede en países de Oriente Medio y el norte de África. Al parecer, se trata de un grupo que “históricamente opera a favor de los Territorios Palestinos”.

A mediados de este año, el grupo utilizó una “cadena de infección laberíntica” con un downloader de acceso inicial al que se ha bautizado como IronWind. Posteriormente, se siguió sofisticando con tres variantes de esa cadena, con enlaces Dropbox, archivos XLL adjuntos y archivos RAR adjuntos, que llevaban a la descarga de una DLL con un malware multifuncional. La compañía señala que su actividad se solapa con la que ha aparecido en infirmes sobre los grupos de ciberespionaje Molerats, Gaza Cybergang, Frankenstein y WIRTE.

Además de la creciente complejidad que muestra el grupo, han dejado de utilizar la API de Dropbox que se había observado en su actividad previa, en 2021 y 2022, para empezar a utilizar una infraestructura controlada para comunicaciones C2. Proofpoint considera que el grupo busca inteligencia con unos intereses específicos, pero podría seguir instrucciones para ajustar sus señuelos de ingeniería social y selección de objetivos en relación con conflicto de Gaza.

Joshua Miller, investigador sénior de amenazas en Proofpoint, considera que “este grupo APT sigue utilizando nuevos e inteligentes métodos de distribución para eludir su detección, además de complejas cadenas de infección, y creando malware para atacar a sus objetivos de forma extremadamente selectiva“.