Categories: CiberguerraSeguridad

Ciberespionaje en Ucrania: Análisis del Grupo Gamaredon y sus Herramientas

ESET Research ha revelado las operaciones cibernéticas de Gamaredon, un grupo de amenazas persistentes avanzadas (APT) alineado con Rusia, que ha dirigido sus esfuerzos de espionaje hacia instituciones gubernamentales de Ucrania y países de la OTAN. Según el Servicio de Seguridad de Ucrania (SSU), este grupo, activo desde 2013, está vinculado al 18º Centro de Seguridad de la Información del FSB ruso, con base en Crimea.

Desde la invasión rusa en febrero de 2022, Gamaredon ha centrado sus ataques principalmente en instituciones gubernamentales ucranianas, aunque también ha intentado comprometer objetivos en varios países de la OTAN, incluyendo Bulgaria, Letonia, Lituania y Polonia. A través de campañas de spearphishing y el uso de malware personalizado, el grupo ha logrado infiltrarse en sistemas críticos, exfiltrando datos sensibles y manteniendo acceso persistente a las redes comprometidas.

Herramientas y Técnicas

Entre las principales tácticas de Gamaredon destaca el uso de spearphishing para comprometer sistemas mediante archivos de Word y USB infectados. A pesar de la simplicidad de sus herramientas, como backdoors y descargadores de datos personalizados, el grupo ha mejorado sus capacidades en los últimos años, especialmente con el desarrollo de scripts en PowerShell diseñados para robar información de correos electrónicos, aplicaciones de mensajería como Signal y Telegram, y aplicaciones web.

En agosto de 2023, ESET descubrió una nueva herramienta llamada PteroBleed, centrada en sustraer datos de sistemas militares ucranianos. La imprudencia de Gamaredon al no preocuparse por mantenerse oculto hace que su enfoque agresivo continúe representando una amenaza crítica para Ucrania y sus aliados en la OTAN.

El arsenal de Gamaredon incluye una variedad de herramientas desarrolladas en PowerShell, VBScript y C, diseñadas para evadir la detección y dificultar el análisis. Entre las herramientas más destacadas se encuentran:

  • PteroPSLoad: Un descargador en PowerShell que se mantiene persistente en los sistemas comprometidos y puede desplegar diversas cargas útiles.
  • PteroLNK: Una herramienta que arma unidades USB conectadas, facilitando el movimiento lateral dentro de las organizaciones comprometidas.
  • PteroDoc y PteroTemplate: Herramientas que arman documentos y plantillas de Word, respectivamente, para propagar el malware a través de archivos compartidos.
  • PteroPSDoor: Un ladrón de archivos que exfiltra documentos específicos a servidores de comando y control (C&C).

Infraestructura de Red

Gamaredon utiliza técnicas avanzadas para evadir la detección, como el uso de DNS de flujo rápido para cambiar frecuentemente las direcciones IP de sus servidores C&C. Además, emplea servicios legítimos de terceros como Telegram y Cloudflare para resolver dominios y proteger las direcciones IP de sus servidores.

A pesar de la falta de sofisticación técnica en algunas de sus herramientas, Gamaredon compensa con actualizaciones frecuentes y técnicas de ofuscación avanzadas. Su enfoque principal sigue siendo Ucrania, y se espera que continúe así mientras el conflicto persista. La comunidad de ciberseguridad debe permanecer vigilante y adaptar sus defensas para contrarrestar las tácticas en constante evolución de este grupo.

La persistencia y adaptabilidad de Gamaredon subrayan la importancia de una ciberseguridad robusta y proactiva. Las organizaciones deben implementar medidas de seguridad avanzadas y mantenerse informadas sobre las últimas amenazas para proteger sus activos más valiosos.

Antonio Adrados Herrero

Recent Posts

Los ingresos anuales recurrentes de IFS crecen un 30%

La compañía ha registrado durante el tercer trimestre incrementos del 20 % en ingresos por…

2 horas ago

Fujitsu lanza una IA que piensa de forma autónoma y colabora con humanos

Fujitsu Kozuchi AI Agent se ofrecerá a través de la plataforma Fujitsu Data Intelligence PaaS.

3 horas ago

Los dispositivos TOUGHBOOK se certifican con Red Hat Enterprise Linux

De momento han sido certificados los modelos TOUGHBOOK 55mk3 y TOUGHBOOK 33mk4.

3 horas ago

Carmen Boronat, nueva CEO de la consultora Cloud District

El objetivo de esta compañía, especializada en productos digitales, es ayudar a las organizaciones combinando…

4 horas ago

Appian elige a Estefanía Vázquez como vicepresidenta de servicios financieros para Iberia y Latinoamérica

Entre sus cometidos están supervisar la implementación de proyectos y el desarrollo de iniciativas de…

5 horas ago

Los españoles están dispuestos a pagar más en Black Friday y Navidad para ayudar al pequeño comercio

Así lo afirma un 71 % de los consumidores encuestados por GoDaddy. Hasta una cuarta…

5 horas ago