El grupo TA415 está detrás de la distribución de Voldemort
- Actualidad
Los analistas de Proofpoint han identificados vínculos que permiten establecer con una alta confianza la atribución al grupo TA415 de una campaña maliciosa que se hacía pasar por las autoridades fiscales de Europa, Estados Unidos y Asia y que distribuía el malware personalizado Voldemort.
A inicios de septiembre, Proofpoint reveló la existencia del malware denominado Voldemort. Se trata de un virus personalizado capaz de recopilar información y entregar otras cargas adicionales que se distribuyó a través de una campaña en la que los atacantes se hacían pasar por las agencias tributarias de países de Europa, Estados Unidos y Asia.
Después de analizar el ataque, los analistas de la compañía han señalado, con una confianza alta, que detrás de la campaña está el grupo TA415, también conocido como APT41 y Brass Typhoon. La compañía habla de vínculos recientemente identificados; entre ellos, coincidencias con una actividad maliciosa que fue comunicada en julio por Mandiant.
Además, Proofpoint ha desvelado una cadena de ataque similar, que también distribuía el malware Voldemort. Fue a finales de agosto y, en esa ocasión, los atacantes suplantaban la identidad de una asociación de la industria aeroespacial de Taiwán. Un perfil alineado con otros objetivos de TA415, que ya ha atacado a empresas aeroespaciales de Estados Unidos.
La compañía explica que “los mensajes maliciosos notificaban a los destinatarios de diversos cambios en sus declaraciones de impuestos. Cada señuelo estaba personalizado y escrito en el idioma de la agencia tributaria suplantada. Los emails se enviaban desde dominios presuntamente comprometidos en los que los ciberdelincuentes incluían el dominio real de la agencia tributaria”.