
Los actores de amenazas que utilizan herramientas de piratería de un proveedor de software de vigilancia israelí llamado QuaDream se dirigieron a al menos cinco miembros de la sociedad civil en América del Norte, Asia Central, el Sudeste Asiático, Europa y Medio Oriente.
Según los hallazgos de un grupo de investigadores de Citizen Lab, la campaña de software espía se dirigió contra periodistas, figuras de la oposición política y un trabajador de una ONG en 2021. Los nombres de las víctimas no fueron revelados.
También se sospecha que la empresa abusó de un exploit de cero clic denominado FIN DE LOS DIAS en iOS 14 para implementar spyware como un día cero en la versión 14.4 y 14.4.2. No hay evidencia de que el exploit se haya utilizado después de marzo de 2021.
ENDOFDAYS “parece hacer uso de invitaciones de calendario invisibles de iCloud enviadas por el operador del spyware a las víctimas”, dijeron los investigadores. dicho.
El equipo de inteligencia de amenazas de Microsoft está seguimiento QuaDream como DEV-0196, calificando a la empresa de cibermercenarios como un actor ofensivo del sector privado (PSOA). Si bien QuaDream no está directamente involucrado en la focalización, se sabe que vende sus “servicios de explotación y malware” a clientes gubernamentales, evaluó el gigante tecnológico con gran confianza.
El malware, llamado reyespeóncontiene un agente de monitoreo y el agente de malware principal, los cuales son archivos Mach-O escritos en Objective-C y Go, respectivamente.
Mientras que el agente de monitoreo es responsable de reducir la huella forense del malware para evadir la detección, el agente principal viene con capacidades para recopilar información del dispositivo, datos móviles y Wi-Fi, recolectar archivos, acceder a la cámara en segundo plano, acceder a la ubicación, registros de llamadas. y iOS Keychain, e incluso generar una contraseña de un solo uso (TOTP) basada en el tiempo de iCloud.

Otras muestras admiten la grabación de audio de llamadas telefónicas y el micrófono, la ejecución de consultas en bases de datos SQL y la limpieza de rastros forenses, como la eliminación de todos los eventos del calendario de dos años antes de la hora actual. Los datos se filtran a través de solicitudes HTTPS POST.
Los escaneos de Internet realizados por Citizen Lab revelan que los clientes de QuaDream operaron 600 servidores de varios países del mundo entre fines de 2021 y principios de 2023, incluidos Bulgaria, República Checa, Hungría, Rumania, Ghana, Israel, México, Singapur, los Emiratos Árabes Unidos y Uzbekistán.
A pesar de los intentos realizados por el software espía para cubrir sus huellas, el laboratorio interdisciplinario dijo que pudo descubrir rastros no especificados de lo que llama el “Factor de ectoplasma” que podría usarse para rastrear el conjunto de herramientas de QuaDream en el futuro.
Esta no es la primera vez que QuaDream llama la atención. En febrero de 2022, Reuters informó que la compañía utilizó como arma el exploit de clic cero FORCEDENTRY en iMessage para implementar una solución de spyware llamada REIGN.
Luego, en diciembre de 2022, Meta reveló que eliminó una red de 250 cuentas falsas en Facebook e Instagram controladas por QuaDream para infectar dispositivos Android e iOS y filtrar datos personales.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
En todo caso, el desarrollo es otra indicación más de que, a pesar de la notoriedad atraída por NSO Group, las firmas comerciales de software espía continúan pasando desapercibidas y desarrollan productos sofisticados de software espía para uso de clientes gubernamentales.
“Hasta que la proliferación descontrolada de software espía comercial se reduzca con éxito a través de regulaciones gubernamentales sistémicas, es probable que la cantidad de casos de abuso continúe creciendo, impulsada tanto por compañías con nombres reconocibles como por otras que aún operan en las sombras”. “, dijo el Laboratorio Ciudadano.
Al calificar el crecimiento de las compañías mercenarias de spyware como una amenaza para la democracia y los derechos humanos, Microsoft dijo que combatir a esos actores ofensivos requiere un “esfuerzo colectivo” y una “colaboración de múltiples partes interesadas”.
“Además, es solo cuestión de tiempo antes de que el uso de las herramientas y tecnologías que venden se extienda aún más”, dijo Amy Hogan-Burney, consejera general asociada de política y protección de seguridad cibernética de la compañía. dicho.
“Esto representa un riesgo real para los derechos humanos en línea, pero también para la seguridad y la estabilidad del entorno en línea más amplio. Los servicios que ofrecen requieren cibermercenarios para acumular vulnerabilidades y buscar nuevas formas de acceder a las redes sin autorización”.



