Home Ciberguerra Ataques de espionaje en el norte de África relacionados con la puerta...

Ataques de espionaje en el norte de África relacionados con la puerta trasera “Stealth Soldier”

Una serie de ataques de espionaje muy selectivos en el norte de África se ha vinculado a una puerta trasera modular no revelada previamente llamada “Stealth Soldier”.

Dirigida principalmente a individuos en Libia, la nueva campaña se centra en operaciones de vigilancia, según un nuevo aviso publicado hoy por Check Point Research (CPR).

En concreto, el backdoor Stealth Soldier cuenta con funciones de exfiltración de archivos, grabación de pantalla y micrófono, registro de pulsaciones de teclado y robo de información del navegador.

El equipo de CPR destacó un hallazgo significativo: la infraestructura asociada a Stealth Soldier muestra similitudes con la utilizada por una campaña anterior conocida como “Eye on the Nile”.

Estos últimos ataques se dirigieron a la sociedad civil egipcia en 2019, pero las similitudes con Stealth Soldier sugieren una posible reaparición del mismo actor de amenazas después de un largo paréntesis.

CPR descubrió diferentes versiones de la puerta trasera, siendo la última la Versión 9, probablemente entregada en febrero de 2023. La versión más antigua encontrada fue la 6, compilada en octubre de 2022.

Los servidores de mando y control (C&C) del malware parecen estar conectados a un conjunto más amplio de dominios, algunos de los cuales se hacen pasar por sitios pertenecientes al Ministerio de Asuntos Exteriores libio, lo que indica el uso de campañas de phishing.

Los investigadores de seguridad añadieron que estos hallazgos subrayan la importancia de contar con medidas de ciberseguridad sólidas para contrarrestar los ataques de espionaje selectivo, especialmente en las regiones donde estas amenazas son frecuentes.

El aviso de CPR incluye Indicadores de Compromiso (IOC) que pueden ayudar a las empresas a detectar y contrarrestar la amenaza Stealth Soldier.

Otra campaña dirigida al Norte de África (y Oriente Próximo) es Earth Bogle, que utilizó señuelos de temática geopolítica de Oriente Próximo para distribuir NjRAT.