A medida que continúan evolucionando los fuertes enfrentamientos entre las fuerzas armenias y azerbaiyanas sobre Nagorno-Karabaj, una región de etnia armenia en Azerbaiyán, los piratas informáticos tampoco se quedan quietos lanzando nuevas campañas contra el sector público de Azerbaiyán y otras organizaciones importantes.
En las últimas semanas, los investigadores han detectado esfuerzos para comprometer las redes de TI del gobierno de Azerbaiyán y acceder a los pasaportes diplomáticos de ciertos funcionarios.
Según la unidad de inteligencia de amenazas Talos de Cisco que detectó y detalló la campaña reciente, los operadores detrás de ella han utilizado nuevas versiones del malware PoetRAT, que anteriormente se había visto en ataques cibernéticos contra el gobierno de Azerbaiyán y el sector energético del país. Los investigadores no revelaron quién está detrás de la campaña observada, solo calificaron la actividad de "espionaje con implicaciones para la seguridad nacional" llevada a cabo por un grupo "con un interés específico en varios departamentos gubernamentales de Azerbaiyán".
Talos expuso por primera vez a este grupo de ciberespionaje en abril de 2020.El nombre de la herramienta de piratería del grupo, PoetRAT, proviene de referencias literarias que se encuentran en el código, y aunque las versiones anteriores del malware mencionaban al dramaturgo inglés William Shakespeare, las nuevas variantes incluyen alusiones a El escritor ruso Fyodor Dostoevsky.
En cuanto al vector de infección utilizado por el grupo, el equipo de Talos dice que el actor de amenazas compromete a las víctimas a través de campañas de spear phishing que entregan documentos de MS Word armados con macros maliciosas, que descargan cargas útiles adicionales según el objetivo.
"Las versiones anteriores de PoetRAT implementaron un intérprete de Python para ejecutar el código fuente incluido, lo que resultó en un tamaño de archivo mucho mayor en comparación con el cambio de la última versión al script Lua", dijeron los investigadores.
En esta campaña reciente, el actor de la amenaza utilizó un documento del gobierno azerbaiyano falso que hace referencia a un decreto firmado por el presidente de la República de Azerbaiyán sobre la movilización parcial de soldados de reserva en el país.
“Con los recientes eventos geopolíticos en Azerbaiyán, es justo esperar algunos ciberataques. El malware PoetRAT se usó contra este país hace unos meses y después del conflicto armado aparecieron nuevas campañas de este actor de amenazas ”, dijeron los investigadores.
”El malware ha evolucionado ligeramente desde nuestra publicación anterior. El desarrollador implementó un nuevo protocolo de exfiltración para ocultar sus actividades. También hay una ofuscación adicional para evitar la detección basada en cadenas o firmas ”, agregaron.
