El grupo de APT CactusPete pone foco en objetivos militares y financieros

  • Endpoint

En su última campaña, el actor de amenazas ha mejorado su puerta trasera Bisonal, diseñada para activar silenciosamente varios programas, finalizar cualquier proceso y cargar y eliminar archivos. La funcionalidad de la carga maliciosa sugiere que está buscando información altamente sensible.

Utilizando el Motor de Atribución de Amenazas, los investigadores de Kaspersky han podido vincular más de 300 muestras de una puerta trasera llamada Bisonal a una campaña del grupo de APT CactusPete. Esta última campaña se ha centrado en objetivos militares y financieros en Europa del Este y evidencia el rápido desarrollo del grupo.

CactusPete, también conocido como Karma Panda o Tonto Team, es un grupo de ciberespionaje activo al menos desde 2012, que, en esta ocasión ha mejorado su puerta trasera para acceder a información confidencial de organizaciones militares y financieras. Además, la velocidad con la que se crean las nuevas muestras de malware sugiere que el grupo se está desarrollando rápidamente, por lo que las organizaciones que responden al perfil indicado en dicha área geográfica deben estar alerta.

Esta última ola de actividad fue detectada por los investigadores de Kaspersky en febrero de 2020, cuando descubrieron una versión actualizada de la puerta trasera del grupo denominada Bisonal y vincularon esta muestra a otras 300 que se encontraban “in the wild”. Las 300 muestras aparecieron entre marzo de 2019 y abril de 2020 al ritmo de unas 20 por mes, lo que pone de relieve el hecho de que CactusPete se está desarrollando rápidamente. De hecho, el grupo ha seguido mejorando sus capacidades, con acceso a código más sofisticado como ShadowPad en 2020.

Una vez instalada en el dispositivo de la víctima, la puerta trasera Bisonal permite al grupo activar silenciosamente varios programas, finalizar cualquier proceso, cargar/descargar/eliminar archivos y extraer la lista de unidades disponibles. Además, a medida que los operadores se adentran en el sistema infectado, despliegan keyloggers para hacerse con credenciales y descargar malware con elevación de privilegios para obtener gradualmente mayor control sobre el sistema.

En esta campaña, no está claro cómo se lleva a cabo la descarga inicial de la puerta trasera. En el pasado, CactusPete utilizaba técnicas de spear-phishing mediante correos electrónicos que contenían archivos adjuntos maliciosos.

"CactusPete" es un grupo de APT bastante interesante porque en realidad no es tan avanzado – incluso considerando la puerta trasera Bisonal. Su éxito no proviene de una tecnología sofisticada o de complejas tácticas de distribución y ofuscación, sino de la aplicación exitosa de tácticas de ingeniería social. Son capaces de tener éxito en la infección de objetivos de alto nivel porque sus víctimas hacen clic en los correos electrónicos de phishing y abren los archivos adjuntos maliciosos. Este es un gran ejemplo de por qué el phishing sigue siendo un método tan eficaz para lanzar ciberataques y por qué es tan importante que las empresas proporcionen a sus empleados formación para saber detectar esos correos electrónicos y se mantengan al día en la información más reciente sobre las amenazas, de modo que puedan detectar a un actor avanzado", comenta Konstantin Zykov, investigador senior de seguridad de Kaspersky.