La amenaza de Careto revive más de una década después
Kaspersky ha detectado su implicación en campañas de ciberespionaje con una estructura multimodal para la grabación de micrófonos y el robo de archivos.
Careto está de vuelta. Este grupo de amenazas persistente avanzada había estado operativo entre los años 2007 y 2013. Entonces se dirigía a entidades gubernamentales y diplomáticas, empresas de energía e instituciones de investigación. Ahora, más de una década después de su parón, regresa a la acción.
La compañía de seguridad Kaspersky ha descubierto un par de campañas de ciberespionaje llevadas a cabo por Careto. Sus víctimas pertenecen a una organización ubicada en Latinoamérica y la parte central de África que ya había sido atacada en años anteriores.
Los ciberdelincuentes aprovecharon el servidor de correo de la organización, que usaba el software MDaemon y estaba infectado con una puerta trasera independiente. Para propagar el ataque se sirvieron de una vulnerabilidad no identificada en una solución de seguridad. De este modo, terminaron desplegando cuatro implantes multimodelos para la grabación de micrófonos y el robo de archivos.
Documentos confidenciales, historiales de formularios, datos de inicio de sesión en navegadores y cookies de aplicaciones de mensajería se encuentran entre la información recopilada.
“A lo largo de los años, Careto ha ido desarrollando malware que demuestra un nivel de complejidad notablemente alto”, declara Georgy Kucherin, investigador de seguridad del GReAT de Kaspersky. “Los implantes recién descubiertos son estructuras multimodales, con tácticas y técnicas de implementación únicas y sofisticadas”, explica, y “su presencia indica la naturaleza avanzada de las operaciones de Careto”.
“Seguiremos vigilando de cerca las actividades de este actor de amenazas, ya que esperamos que el malware descubierto se utilice en futuros ataques llevados a cabo por el grupo Careto”, apunta Kucherin.