Un grupo de hackers muy prolífico continúa realizando campañas de ciberespionaje dirigidas a entidades militares y diplomáticas de todo el mundo, según un nuevo informe de Kaspersky Lab.
El grupo, conocido como Transparent Tribe, PROJECTM y LEOPARDO MÍTICO ha estado activo desde al menos el 2013 y anteriormente ha estado vinculado a campañas de ciberespionaje contra el gobierno y el ejército de la India, aunque recientemente la APT ha cambiado su enfoque a entidades en Afganistán. .
Los investigadores dijeron que a lo largo de los años, el actor de amenazas ha utilizado constantemente ciertas herramientas y ha creado nuevos programas para campañas específicas. Por lo general, la cadena de infección involucra documentos maliciosos que contienen una macro incrustada, que implementa el malware.
En sus campañas, el grupo utiliza principalmente un malware personalizado conocido como Crimson RAT, así como otro malware en .NET personalizado y un RAT basado en Python conocido como Peppy.
Durante el año pasado, los piratas informáticos mejoraron considerablemente sus herramientas, agregaron una consola de administración y una función de gusano USB a Crimson RAT, y aumentaron su actividad iniciando campañas de infección masivas y desarrollando nuevas herramientas.
El Crimson RAT consta de varios componentes y puede:
- administrar sistemas de archivos remotos
- cargar o descargar archivos
- capturar capturas de pantalla
- realizar vigilancia de audio utilizando micrófonos
- grabar secuencias de video desde dispositivos de cámara web
- capturar capturas de pantalla
- robar archivos de medios extraíbles
- ejecutar comandos arbitrarios
- grabar pulsaciones de teclas
- robar contraseñas guardadas en navegadores
- propagarse a través de los sistemas infectando medios extraíbles
En la última campaña, los investigadores observaron una nueva adición a Crimson RAT, a saber, un componente del lado del servidor utilizado para administrar máquinas cliente infectadas, así como un nuevo componente USBWorm desarrollado para robar archivos de unidades extraíbles.
"Con dos versiones, se compiló en 2017, 2018 y 2019, lo que indica que este software aún está en desarrollo y el grupo APT está trabajando en formas de mejorarlo", dijeron los investigadores.
USBWorm contiene dos componentes principales, un ladrón de archivos para unidades extraíbles y una función de gusano para saltar a máquinas nuevas y vulnerables. Si una unidad USB está conectada a una PC infectada, se instala silenciosamente una copia del troyano en la unidad extraíble. El malware enumerará todos los directorios de una unidad y luego inyectará una copia del troyano en el directorio de la unidad raíz. Luego, el atributo del directorio se cambia a "oculto" y se usa un ícono falso directamente de Windows para atraer a las víctimas a hacer clic y ejecutar la carga útil cuando intentan acceder a los directorios.
“Transparent Tribe continúa mostrando una gran actividad contra múltiples objetivos. En los últimos doce meses, observamos una amplia campaña contra objetivos militares y diplomáticos, utilizando una amplia infraestructura para respaldar sus operaciones y mejoras continuas en su arsenal. El grupo continúa invirtiendo en su principal RAT, Crimson, para realizar actividades de inteligencia y espiar objetivos sensibles. No esperamos ninguna desaceleración de este grupo en un futuro próximo y continuaremos monitoreando sus actividades ”, concluyeron los investigadores.
