Investigadores de la empresa de ciberseguridad Kaspersky, denunciaron dos operaciones globales de ciberdelincuencia que combinan ingeniería social, automatización y otras tecnologías para realizar espionaje político y robar información financiera, aunque se puede usar con otros fines delictivos.
La firma informó que su Equipo Global de investigación y Análisis (GReAT, pro sus siglas en inglés), detectó una operación de espionaje que presuntamente realiza el grupo delictivo conocido como Memento Labs (antes Hacking Team) y otro de ataques financieros impulsados por Inteligencia Artificial, del que sería autor el grupo BlueNoroff, que es una subdivisión de Lazarus Group.
Memento Labs estaría recobrando actividad luego de un largo periodo de silencio, a través de una nueva campaña de ciberespionaje conocida como Operation ForumTroll, que opera a través de phishing personalizado, fingiendo invitar a sus víctimas a un foro académico ruso, para después infiltrarse en medios de comunicación, instituciones financieras y organismos gubernamentales.
“Durante la investigación, los expertos identificaron un spyware altamente sofisticado llamado LeetAgent, que usaba un lenguaje de comandos poco común y estaba relacionado con otro programa aún más avanzado: Dante, desarrollado comercialmente por Memento Labs”.
Respecto a BlueNoroff, los investigadores de Kaspersky encontraron nuevas campañas que utilizan Inteligencia Artificial para dirigir ataques a ejecutivos, inversionistas y desarrolladores del mundo de los criptoactivos y la Web3.
Estas operaciones a las que se denominan GhostCall y GhostHire, se propagan a través de videollamadas falsas y ofertas de trabajo simuladas, respectivamente.
En el caso de GhostCall, que se enfoca principalmente en dispositivos macOS, las víctimas reciben invitaciones a reuniones de inversión y, durante la sesión, se les pide “actualizar el cliente” de Zoom o Teams, instalando sin saberlo un malware en su equipo.
Por lo que toca a GhostHire, el objetivo son desarrolladores y profesionales del sector blockchain. Los atacantes se hacen pasar por reclutadores que envían pruebas técnicas infectadas mediante GitHub y una vez que el candidato descarga y ejecuta el archivo, el malware se instala en su computadora y se adapta automáticamente al sistema operativo, ya sea Windows o macOS.
Tanto en estos, como en otros casos, se confirma que “la IA se ha convertido en una aliada del cibercrimen, pues permite a los atacantes desarrollar malware más rápido, crear sitios falsos más realistas y así es más fácil robar credenciales, información financiera y acceder a ámbitos corporativos con precisión quirúrgica”.
Al respecto, Leandro Cuozzo, analista de seguridad para América Latina de Kaspersky, advirtió que esta operación delictiva ha estado vigente por lo menos desde 2022 y tiene como sus principales objetivos a organizaciones en Rusia y Bielorrusia, aunque muchos indicios apuntan a que los atacantes no son hablantes nativos de ruso.
“Revelar el origen de Dante fue un desafío que implicó desentrañar capas de código oculto y seguir su evolución a lo largo de los años”, comentó.
Frente a este panorama y con ambos grupos delictivos operando de manera global, la recomendación de los expertos en ciberseguridad vuelve a los básicos: verificar la identidad de cualquier contacto antes de abrir archivos o enlaces recibidos por correo o redes sociales.
También, implementar políticas de autentificación multifactor y cifrado; utilizar herramientas de ciberseguridad que ofrezcan visibilidad, detección y respuesta ante amenazas y por supuesto evitar la ejecución de comandos o descargas no verificadas mientras tienen lugar las videollamadas.
C$T-GM
