¿Ciberespía o ciberdelincuente?

Si sufres la infección de un malware en uno de tus equipos, no sueles preguntar qué hay detrás de él. Simplemente, te ha entrado un virus como esos que pululan en invierno. Pero hay mucho más detrás. ¿Buscaban tus credenciales, tus datos bancarios, tus criptomonederos? Y más allá, ¿su objetivo final era económico? En la amalgama de ciberamenazas que existen, una de las divisiones que hacen los expertos es entre la motivación económica o el espionaje.

Habitualmente, son grupos que operan por separado. Por eso a Proofpoint le ha llamado la atención el caso de TA829 y UNK_GreenSec, dos grupos maliciosos en principio diferentes, pero con llamativas coincidencias: “hacen un mismo uso de infraestructura, tácticas de entrega y componentes de malware”. El primero de ellos, además de ciberdelitos económicos, ha estado realizando “campañas de espionaje alineadas con los intereses de Rusia tras la invasión de Ucrania”.

Mientras, UNK_GreenSec, al parecer durante una pausa en las operaciones de TA829, realizó campañas de ciberdelincuencia, pero utilizando los mismos routers MikroTik comprometidos para la distribución de emails, cadenas de redireccionamiento similares y falsificando también páginas de destino de OneDrive y Google Drive. La compañía se plantea diferentes escenarios… ¿Tienen un mismo proveedor? ¿Se dan servicios entre sí? ¿Pertenecen en realidad al mismo grupo?

Los expertos de Proofpoint consideran que “estos  hallazgos sugieren posibles relaciones entre estos grupos, desde proveedores de infraestructura de terceros compartidos hasta una colaboración directa. Aunque no hay pruebas suficientes para corroborar la naturaleza exacta de la relación entre TA829 y UNK_GreenSec, es muy probable que exista un vínculo. En el panorama actual de amenazas, los puntos en los que se solapan la ciberdelincuencia y el espionaje siguen aumentando”.