El actor de amenazas ruso conocido como Star Blizzard ha sido vinculado a una nueva campaña de phishing dirigida a las cuentas de WhatsApp de las víctimas, lo que indica un alejamiento de su tradicional oficio en un probable intento de evadir la detección.
“Los objetivos de Star Blizzard suelen estar relacionados con el gobierno o la diplomacia (tanto titulares como antiguos titulares), investigadores de política de defensa o relaciones internacionales cuyo trabajo afecta a Rusia, y fuentes de asistencia a Ucrania relacionadas con la guerra con Rusia”, dice la amenaza de Microsoft. El equipo de inteligencia dijo en un informe compartido con The Hacker News.
Star Blizzard (anteriormente SEABORGIUM) es un grupo de actividad de amenazas vinculado a Rusia conocido para sus campañas de recolección de credenciales. Activo desde al menos 2012, también se le sigue con los apodos Blue Callisto, BlueCharlie (o TAG-53), Calisto (deletreado alternativamente Callisto), COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 y UNC4057.
Las cadenas de ataques observadas anteriormente han implicado el envío de correos electrónicos de phishing a objetivos de interés, generalmente desde una cuenta de Proton, adjuntando documentos que incorporan enlaces maliciosos que redirigen a una página impulsada por Evilginx que es capaz de recopilar credenciales y códigos de autenticación de dos factores (2FA) a través de un ataque de adversario en el medio (AiTM).
Star Blizzard también se ha relacionado con el uso de plataformas de marketing por correo electrónico como HubSpot y MailerLite para ocultar las verdaderas direcciones del remitente de correo electrónico y obviar la necesidad de incluir una infraestructura de dominio controlada por actores en los mensajes de correo electrónico.
A fines del año pasado, Microsoft y el Departamento de Justicia de EE. UU. (DoJ) anunciaron la incautación de más de 180 dominios que fueron utilizados por el actor de amenazas para atacar a periodistas, grupos de expertos y organizaciones no gubernamentales (ONG) entre enero de 2023 y agosto de 2024. .
La evaluación del gigante tecnológico sobre la divulgación pública de sus actividades probablemente haya llevado al equipo de hackers a cambiar sus tácticas comprometiendo las cuentas de WhatsApp. Dicho esto, la campaña parece haber sido limitada y finalizada a finales de noviembre de 2024.
“Los objetivos pertenecen principalmente a los sectores gubernamental y diplomático, incluidos funcionarios actuales y anteriores”, dijo a The Hacker News Sherrod DeGrippo, director de estrategia de inteligencia de amenazas de Microsoft.
“Además, los objetivos incluyen a personas involucradas en la política de defensa, investigadores en relaciones internacionales centrados en Rusia y aquellos que brindan asistencia a Ucrania en relación con la guerra con Rusia”.
Todo comienza con un correo electrónico de phishing que pretende ser de un funcionario del gobierno de EE. UU. para darle una apariencia de legitimidad y aumentar la probabilidad de que la víctima interactúe con él.
El mensaje contiene un código de respuesta rápida (QR) que insta a los destinatarios a unirse a un supuesto grupo de WhatsApp sobre “las últimas iniciativas no gubernamentales destinadas a apoyar a las ONG de Ucrania”. El código, sin embargo, se descifra deliberadamente para provocar una respuesta de la víctima.
Si el destinatario del correo electrónico responde, Star Blizzard envía un segundo mensaje pidiéndole que haga clic en[.]Enlace ligeramente acortado para unirse al grupo de WhatsApp, al tiempo que se disculpa por las molestias ocasionadas.
“Cuando se sigue este enlace, el objetivo es redirigido a una página web que le pide que escanee un código QR para unirse al grupo”, explicó Microsoft. “Sin embargo, WhatsApp utiliza este código QR para conectar una cuenta a un dispositivo vinculado y/o el portal web WhatsApp.”
En caso de que el objetivo siga las instrucciones del sitio (“aerofluidthermo[.]org”), el enfoque permite al actor de amenazas obtener acceso no autorizado a sus mensajes de WhatsApp e incluso extraer los datos a través de complementos del navegador.
Se recomienda a las personas que pertenecen a sectores objetivo de Star Blizzard que tengan cuidado al manejar correos electrónicos que contengan enlaces a fuentes externas.
La campaña “marca una ruptura en los TTP de larga data de Star Blizzard y destaca la tenacidad del actor de amenazas en continuar con campañas de phishing para obtener acceso a información confidencial incluso frente a repetidas degradaciones de sus operaciones”.
About the Author
