Desde mediados de noviembre de 2024, el grupo ruso de ciberespionaje conocido como Ventisca estelar lanza una nueva y sofisticada campaña de phishing dirigida a las cuentas de WhatsApp de determinadas figuras políticas y diplomáticas de Estados Unidos. Microsoft Threat Intelligence publicó recientemente un informe que detalla esta ofensiva y destaca los riesgos que plantean estas nuevas tácticas.
Anuncio
Un nuevo método de ataque a través de WhatsApp
Ventisca estelartambién conocido con otros nombres como SEABORGIUM o Gossamer Bear, es un actor de amenazas ruso activo desde al menos 2012. Este grupo se ha hecho conocido por sus campañas de phishing dirigidas contra varias organizaciones no gubernamentales, periodistas, grupos de expertos e investigadores en relaciones internacionales, especialmente aquellas cuyo trabajo concierne a Rusia y Ucrania. Según Microsoft, esta nueva ola de ciberataques explota por primera vez la plataforma WhatsApp.
De acuerdo con las observaciones realizadas por Inteligencia de amenazas de Microsoftlos atacantes reproducen un patrón familiar en el que envían un correo electrónico inicial haciéndose pasar por correo de un funcionario del gobierno de EE. UU. El correo electrónico invita a los destinatarios a unirse a un grupo de WhatsApp dedicado a iniciativas no gubernamentales en apoyo de Ucrania. Contiene un código QR que parece dirigir a un área inofensiva, pero su verdadero propósito es mucho más siniestro.
Su objetivo: robar datos confidenciales.
Cuando un objetivo escanea este código QR, vincula su dispositivo y cuenta de WhatsApp a una versión web controlada por los piratas informáticos. Luego, utilizan extensiones de navegador especializadas para extraer mensajes y otros datos confidenciales de cuentas de WhatsApp comprometidas. Esto permite a los piratas informáticos no sólo acceder a las conversaciones privadas de las víctimas, sino también extraer estos datos para utilizarlos potencialmente en otras operaciones maliciosas.
Esta técnica marca un cambio significativo en los métodos operativos (TTP) de Ventisca estelar y demuestra su capacidad de adaptarse a las acciones tomadas por entidades como microsoft y el Departamento de Justicia de los Estados Unidosque eliminó más de 180 de sus sitios web en octubre de 2024. La vigilancia y la resistencia de este grupo indican que probablemente continuará adaptando sus estrategias para eludir las medidas de defensa implementadas por objetivos potenciales.
Objetivos específicos vinculados a la diplomacia y la defensa
Los principales objetivos de esta campaña de phishing incluyen personas vinculadas al gobierno, la diplomacia, la investigación de políticas de defensa o las relaciones internacionales, especialmente aquellas relacionadas con fuentes de ayuda a Ucrania. Al hacerse pasar por figuras políticas o diplomáticas conocidas, los atacantes aumentan las posibilidades de que se abran sus correos electrónicos y se sigan instrucciones maliciosas.
Las consecuencias de tales compromisos pueden ser graves. No sólo exponen las comunicaciones confidenciales a espías, sino que también pueden comprometer iniciativas estratégicas sensibles en materia de seguridad nacional e internacional. Los ataques exitosos tienen el potencial de desestabilizar aún más regiones ya debilitadas por las crecientes tensiones geopolíticas.
Persistencia y adaptabilidad de los actores de amenazas
El final de noviembre de 2024 parece marcar una desaceleración en esta campaña específica, pero no hay garantía de que las amenazas no se reanuden de una forma diferente. Las constantes evoluciones de los TTP de grupos como Ventisca estelar requieren que las empresas y organizaciones objetivo se mantengan constantemente informadas y preparadas para ajustar sus defensas en consecuencia. La guerra digital se desarrolla en un terreno cambiante donde cada nuevo ataque trae consigo una serie de desafíos que enfrentar.
La colaboración entre empresas de tecnología, gobiernos y agencias de seguridad cibernética representa una respuesta necesaria para detectar rápidamente nuevas amenazas y responder de manera efectiva. La activación de procedimientos conjuntos como los mencionados por microsoft revela que los esfuerzos concertados pueden ralentizar las actividades de los piratas informáticos, aunque la lucha está lejos de estar ganada de antemano.
About the Author
