Categories: CiberguerraSeguridad

Ciberespionaje en Ucrania: Análisis del Grupo Gamaredon y sus Herramientas

ESET Research ha revelado las operaciones cibernéticas de Gamaredon, un grupo de amenazas persistentes avanzadas (APT) alineado con Rusia, que ha dirigido sus esfuerzos de espionaje hacia instituciones gubernamentales de Ucrania y países de la OTAN. Según el Servicio de Seguridad de Ucrania (SSU), este grupo, activo desde 2013, está vinculado al 18º Centro de Seguridad de la Información del FSB ruso, con base en Crimea.

Desde la invasión rusa en febrero de 2022, Gamaredon ha centrado sus ataques principalmente en instituciones gubernamentales ucranianas, aunque también ha intentado comprometer objetivos en varios países de la OTAN, incluyendo Bulgaria, Letonia, Lituania y Polonia. A través de campañas de spearphishing y el uso de malware personalizado, el grupo ha logrado infiltrarse en sistemas críticos, exfiltrando datos sensibles y manteniendo acceso persistente a las redes comprometidas.

Herramientas y Técnicas

Entre las principales tácticas de Gamaredon destaca el uso de spearphishing para comprometer sistemas mediante archivos de Word y USB infectados. A pesar de la simplicidad de sus herramientas, como backdoors y descargadores de datos personalizados, el grupo ha mejorado sus capacidades en los últimos años, especialmente con el desarrollo de scripts en PowerShell diseñados para robar información de correos electrónicos, aplicaciones de mensajería como Signal y Telegram, y aplicaciones web.

En agosto de 2023, ESET descubrió una nueva herramienta llamada PteroBleed, centrada en sustraer datos de sistemas militares ucranianos. La imprudencia de Gamaredon al no preocuparse por mantenerse oculto hace que su enfoque agresivo continúe representando una amenaza crítica para Ucrania y sus aliados en la OTAN.

El arsenal de Gamaredon incluye una variedad de herramientas desarrolladas en PowerShell, VBScript y C, diseñadas para evadir la detección y dificultar el análisis. Entre las herramientas más destacadas se encuentran:

  • PteroPSLoad: Un descargador en PowerShell que se mantiene persistente en los sistemas comprometidos y puede desplegar diversas cargas útiles.
  • PteroLNK: Una herramienta que arma unidades USB conectadas, facilitando el movimiento lateral dentro de las organizaciones comprometidas.
  • PteroDoc y PteroTemplate: Herramientas que arman documentos y plantillas de Word, respectivamente, para propagar el malware a través de archivos compartidos.
  • PteroPSDoor: Un ladrón de archivos que exfiltra documentos específicos a servidores de comando y control (C&C).

Infraestructura de Red

Gamaredon utiliza técnicas avanzadas para evadir la detección, como el uso de DNS de flujo rápido para cambiar frecuentemente las direcciones IP de sus servidores C&C. Además, emplea servicios legítimos de terceros como Telegram y Cloudflare para resolver dominios y proteger las direcciones IP de sus servidores.

A pesar de la falta de sofisticación técnica en algunas de sus herramientas, Gamaredon compensa con actualizaciones frecuentes y técnicas de ofuscación avanzadas. Su enfoque principal sigue siendo Ucrania, y se espera que continúe así mientras el conflicto persista. La comunidad de ciberseguridad debe permanecer vigilante y adaptar sus defensas para contrarrestar las tácticas en constante evolución de este grupo.

La persistencia y adaptabilidad de Gamaredon subrayan la importancia de una ciberseguridad robusta y proactiva. Las organizaciones deben implementar medidas de seguridad avanzadas y mantenerse informadas sobre las últimas amenazas para proteger sus activos más valiosos.

Antonio Adrados Herrero

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

21 horas ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

2 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

2 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

2 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

2 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

2 días ago