Se ha descubierto una campaña de ciberespionaje a gran escala dirigida principalmente a organizaciones de energía renovable y tecnología industrial que está activa desde al menos 2019 y que apunta a más de quince entidades en todo el mundo.
La campaña fue descubierta por el investigador de seguridad William Thomas, miembro del grupo de confianza Curated Intelligence, que empleó técnicas OSINT (inteligencia de código abierto) como escaneos de DNS y envíos públicos de sandbox.
El análisis de Thomas reveló que el atacante utiliza un kit de herramientas personalizado “Mail Box”, un paquete de phishing poco sofisticado desplegado en la infraestructura de los actores, así como sitios web legítimos comprometidos para alojar páginas de phishing.
La mayoría de las páginas de phishing estaban alojadas en los dominios “*.eu3[.]biz”, “*.eu3[.]org” y “*.eu5[.]net”, mientras que la mayoría de los sitios comprometidos se encuentran en Brasil (“*.com[.]br”).
El objetivo de la campaña de phishing es robar las credenciales de acceso de quienes trabajan en empresas de energías renovables, organizaciones de protección del medio ambiente y tecnología industrial en general.
Entre los ejemplos de organizaciones a las que se dirigen los ataques de phishing se encuentran:
Schneider Electric
Honeywell
Huawei
HiSilicon
Telekom Rumanía
Universidad de Wisconsin
Universidad del Estado de California
Universidad del Estado de Utah
Central hidroeléctrica de Kardzhali (Bulgaria)
CEZ Electro (Bulgaria)
Junta de Recursos del Aire de California
Thomas no pudo atribuir esta campaña a algún actor específico, pero las pruebas apuntan a dos grupos de actividad, uno de APT28 (alias FancyBear) y otro de Konni (actores de Corea del Norte).
Con información de Bleeping Computer.