La campaña activa del grupo de amenazas UAC-0063

  • Actualidad
Ciberespionaje_ciberguerra

Bitdefender ha realizado una extensa investigación sobre una campaña de espionaje, todavía activa y dirigida a organismos gubernamentales de Asia Central y de algunos países europeos como Alemania, Reino Unido, Países Bajos y Rumanía. La campaña se atribuye al grupo UAC-0063, vinculado con Rusia.

Bitdefender ha publicado en su blog los detalles de una amplia investigación sobre una campaña de ciberespionaje activa lanzada por el grupo de amenazas UAC-0063, que se considera relacionado con Rusia. La campaña se dirigió en primer término a países de Asia Central, pero sus operaciones han llegado ya a instituciones y embajadas de países como Alemania, Reino Unido, Países Bajos y Rumanía.

Su modus operando pasa por la cadena de suministro, lo que pone de relevancia la importancia del despliegue rápido de normativas como NIS2. UAC-0063 ataca la cadena de suministro utilizando documentos de Microsoft Word comprometidos previamente. Para evitar su detección en los sistemas básicos de seguridad del email, utiliza enlaces URL en lugar de documentos adjuntos.

Los archivos infectados despliegan el payload del malware HATVIBE en los nuevos sistemas. UAC-0063 se sirve además de “cargas útiles de malware personalizadas como DownEx (C++) y DownExPyer (Python/CherrySpy), que están diseñadas específicamente para la recopilación de datos, la exfiltración y el acceso persistente”. La compañía considera que la operación todavía está activa.

Según explica Bitdefender en su blog, hay una “confianza moderada”, según CERT-UA, el Equipo de Respuesta a Emergencias Informáticas de Ucrania, de que UAC-0063 está relacionado con el grupo de ciberespionaje ruso APT28. En todo caso, la compañía señala que desconoce la base específica para esta atribución, puesto que “no se ha atribuido explícitamente a una infraestructura compartida, similitudes de código u otras evidencias técnicas concretas”.