Investigadores de seguridad cibernética, hallaron nuevos detalles de los ataques a los abrevaderos contra la comunidad kurda en Siria y Turquía con fines de vigilancia y exfiltración de inteligencia.
La avanzada amenaza persistente detrás de la operación, llamada StrongPity, se ha reajustado con nuevas tácticas para controlar las máquinas comprometidas, dijo la empresa de seguridad cibernética, Bitdefender.
“Utilizando tácticas de agujeros de agua para infectar selectivamente a las víctimas y desplegando una infraestructura de C&C de tres niveles para frustrar las investigaciones forenses, el grupo APT aprovechó las herramientas populares troyanas, como archivadores, aplicaciones de recuperación de archivos, aplicaciones de conexiones remotas, servicios públicos e incluso software de seguridad, para cubrir una amplia gama de opciones que las víctimas objetivo podrían estar buscando”, dijeron los investigadores.
Con las marcas de tiempo de los ejemplares de malware analizados que se utilizaron en la campaña coincidiendo con la ofensiva turca en el noreste de Siria (nombre en clave Operación Primavera de la Paz), en octubre último, Bitdefender aseguró que los ataques podrían haber tenido una motivación política.
StrongPity (o Promethium) se dio a conocer públicamente por primera vez en octubre de 2016 tras los ataques contra usuarios de Bélgica e Italia que utilizaron abrevaderos para entregar versiones malignas de programas de cifrado de archivos WinRAR y TrueCrypt.
Desde entonces, la APT ha estado vinculada a una operación de 2018 que abusó de la red de Türk Telekom para redirigir a cientos de usuarios de Turquía y Siria a versiones malignas de StrongPity de software auténtico.
Aunque Siria y Turquía pueden ser sus objetivos recurrentes, el actor de la amenaza que está detrás de StrongPity parece estar ampliando su victimología para infectar a usuarios de Colombia, la India, el Canadá y Viet Nam utilizando versiones contaminadas de Firefox, VPNpro, DriverPack y 5kPlayer.
Con información de: Masterhacks Noticias.
