Los actores de amenazas con vínculos con Rusia han sido vinculados a una campaña de ciberespionaje dirigida a organizaciones en Asia Central, Asia Oriental y Europa.
Insikt Group de Recorded Future, que asignó al grupo de actividad el nombre TAG-110, dijo que se superpone con un grupo de amenazas rastreado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) como UAC-0063, que, a su vez, se superpone con APT28. El equipo de hackers ha estado activo desde al menos 2021.
“Utilizando herramientas de malware personalizadas HATVIBE y CHERRYSPY, TAG-110 ataca principalmente a entidades gubernamentales, grupos de derechos humanos e instituciones educativas”, dijo la empresa de ciberseguridad. dicho en un informe del jueves. “HATVIBE funciona como un cargador para implementar CHERRYSPY, una puerta trasera de Python utilizada para la filtración de datos y el espionaje”.
El uso de HATVIBE y CHERRYSPY por parte de TAG-110 fue documentado por primera vez por CERT-UA a finales de mayo de 2023 en relación con un ciberataque dirigido a agencias estatales en Ucrania. Ambas familias de malware fueron detectadas nuevamente más de un año después en una intrusión en una institución de investigación científica anónima en el país.
Desde entonces se han identificado hasta 62 víctimas únicas en once países, con incidentes notables en Tayikistán, Kirguistán, Kazajstán, Turkmenistán y Uzbekistán, lo que indica que Asia Central es un área principal de atención para el actor de amenazas en un probable intento de reunir inteligencia que informa los objetivos geopolíticos de Rusia en la región.
También se ha detectado un número menor de víctimas en Armenia, China, Hungría, India, Grecia y Ucrania.
Las cadenas de ataques implican la explotación de fallas de seguridad en aplicaciones web públicas (por ejemplo, Rejetto HTTP File Server) y correos electrónicos de phishing como vector de acceso inicial para eliminar HATVIBE, un cargador de aplicaciones HTML personalizado que sirve como conducto para implementar la puerta trasera CHERRYSPY para recopilación y exfiltración de datos.
“Los esfuerzos del TAG-110 son probablemente parte de una estrategia rusa más amplia para recopilar inteligencia sobre acontecimientos geopolíticos y mantener la influencia en los estados postsoviéticos”, dijo Recorded Future. “Estas regiones son importantes para Moscú debido a las tensas relaciones tras la invasión rusa de Ucrania”.
También se cree que Rusia ha intensificado su operaciones de sabotaje en toda la infraestructura crítica europea tras su invasión a gran escala de Ucrania en febrero de 2022, dirigida a Estonia, Finlandia, Letonia, Lituania, Noruega y Polonia con el objetivo de desestabilizar a los aliados de la OTAN e interrumpir su apoyo a Ucrania.
“Estas actividades encubiertas se alinean con la estrategia más amplia de guerra híbrida de Rusia, cuyo objetivo es desestabilizar a los países de la OTAN, debilitar sus capacidades militares y tensar las alianzas políticas”, Recorded Future dichodescribiendo los esfuerzos como “calculados y persistentes”.
“Como es casi seguro que las relaciones entre Rusia y Occidente seguirán siendo tensas, es muy probable que Rusia aumente la destructividad y la letalidad de sus operaciones de sabotaje sin cruzar el umbral de la guerra con la OTAN, como se discutió en el Doctrina Gerasimov. Estos ataques físicos probablemente complementarán los esfuerzos rusos en el ámbito de las operaciones cibernéticas y de influencia en línea con la doctrina de guerra híbrida de Rusia”.