Home Ciberguerra Grupo de ciberespionaje apunta a militares latinoamericanos

Grupo de ciberespionaje apunta a militares latinoamericanos

Expertos en seguridad de ESET descubrieron un grupo de ciberespionaje, rastreado como Machete, que robó archivos sensibles del ejército venezolano.

La oprganización ha estado activa desde 2010 y ha golpeado a grupos militares y otros objetivos de alto perfil en todo el mundo. Desde principios de 2019, el grupo se centra en Venezuela. Los expertos observaron que el grupo actualiza periódicamente el malware de su arsenal y su infraestructura.

ESET ha estado rastreando una nueva variante del conjunto de herramientas basado en Python Machete que se detectó por primera vez en abril de 2018. Las variantes anteriores fueron analizadas por Kaspersky en 2014 y Cylance en 2017.

La variante de noticias implementa un nuevo conjunto de características, entre marzo y mayo de 2019, ESET observó al menos 50 infecciones.

Gran parte (75%) se localizó en Venezuela, seguida por Colombia (16%). La gran mayoría de los sistemas infectados pertenecía al ejército venezolano.

El grupo de ciberespionaje golpea a las víctimas con técnicas eficaces de phishing, en los países de América Latina, y muestra un profundo conocimiento de sus objetivos. También está especializado en la extracción de tipos de archivos utilizados por los sistemas de información geográfica (SIG), probablemente porque los actores de la amenaza están interesados en los archivos que describen las rutas de navegación y el posicionamiento mediante redes militares.

“El grupo Machete envía correos electrónicos muy específicos directamente a sus víctimas, y estos cambian de objetivo a objetivo. Estos correos electrónicos contienen un enlace o un archivo comprimido autoextraíble que ejecuta el malware y abre un documento que sirve como señuelo”, continúa el informe. “Para engañar a objetivos confiados, los operadores de Machete usan documentos reales que han robado previamente”.

La nueva variante del malware tiene muchas similitudes con las muestras analizadas por Kaspersky, implementa capacidades de robo, pero diferencias en la forma en que se entrega y también en los objetivos. Las versiones anteriores de Machete no estaban tan enfocadas en las organizaciones de América Latina.

Los investigadores de ESET no vincularon al grupo Machete con algún gobierno específico, en 2014. Según Kaspersky, el grupo estaría compuesto por individuos de habla hispana.

“Varios artefactos que hemos visto en el código de Machete y la infraestructura subyacente nos llevan a pensar que se trata de un grupo de habla hispana”, concluye el informe. “La presencia de código para extraer datos a unidades extraíbles cuando hay acceso físico a un ordenador comprometido puede indicar que los operadores de Machete podrían tener presencia en uno de los países objetivo, aunque no podemos estar seguros”.

Con información de: ESET.