Los actores de amenazas vinculados a Rusia han sido atribuidos a una campa\u00f1a de ciberespionaje en curso dirigida a Kazajst\u00e1n como parte de los esfuerzos del Kremlin para recopilar inteligencia econ\u00f3mica y pol\u00edtica en Asia Central.<\/p>\n
Se ha evaluado que la campa\u00f1a es obra de un grupo de intrusi\u00f3n denominado UAC-0063<\/strong>que probablemente se superpone con APT28, un grupo de estados-naci\u00f3n afiliado a la Direcci\u00f3n Principal de Inteligencia del Estado Mayor General (GRU) de Rusia. Tambi\u00e9n se conoce como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422.<\/p>\n UAC-0063 fue documentado por primera vez por el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) a principios de 2023, detallando sus ataques a entidades gubernamentales utilizando familias de malware rastreadas como HATVIBE, CHERRYSPY y STILLARCH (tambi\u00e9n conocido como DownEx). Vale la pena se\u00f1alar que el uso de estas cepas de malware ha sido exclusivo de este grupo.<\/p>\n Se han observado campa\u00f1as posteriores que apuntan a organizaciones en Asia Central, Asia Oriental y Europa, seg\u00fan Insikt Group de Recorded Future, que asign\u00f3 al grupo de actividades el nombre TAG-110.<\/p>\n “El objetivo de UAC-0063 sugiere un enfoque en la recopilaci\u00f3n de inteligencia en sectores como el gobierno, incluida la diplomacia, las ONG, el mundo acad\u00e9mico, la energ\u00eda y la defensa, con un enfoque geogr\u00e1fico en Ucrania, Asia Central y Europa del Este”, dijo la empresa francesa de ciberseguridad Sekoia. dicho<\/a> en un nuevo an\u00e1lisis.<\/p>\n El \u00faltimo conjunto de ataques implica el uso de documentos leg\u00edtimos de Microsoft Office procedentes del Ministerio de Asuntos Exteriores de la Rep\u00fablica de Kazajst\u00e1n como se\u00f1uelos de phishing para activar una cadena de infecci\u00f3n de varias etapas denominada Double-Tap que elimina el malware HATVIBE. Actualmente no se sabe c\u00f3mo se obtuvieron estos documentos, aunque es posible que hayan sido exfiltrados en una campa\u00f1a anterior.<\/p>\n Espec\u00edficamente, los documentos est\u00e1n vinculados con una macro maliciosa que, cuando la ejecutan las v\u00edctimas, est\u00e1 dise\u00f1ada para crear un segundo documento en blanco en “C:Users[USER]Ubicaci\u00f3n AppDataLocalTemp”.<\/p>\n “Este segundo documento se abre autom\u00e1ticamente en una instancia oculta de Word mediante la macro inicial, para soltar y ejecutar un archivo HTA (aplicaci\u00f3n HTML) malicioso que incorpora un VBS. [Visual Basic Script] puerta trasera apodada ‘HATVIBE'”, dijeron los investigadores de Sekoia.<\/p>\n HATVIBE opera como un cargador, recibiendo m\u00f3dulos VBS de siguiente etapa para su ejecuci\u00f3n desde un servidor remoto, lo que en \u00faltima instancia allana el camino para una sofisticada puerta trasera de Python llamada CHERRYSPY. El archivo HTA que contiene HATVIBE est\u00e1 dise\u00f1ado para ejecutarse durante cuatro minutos iniciando mshta.exe.<\/p>\n “Lo que hace que esta cadena de infecci\u00f3n Double-Tap sea \u00fanica es que emplea muchos trucos para eludir las soluciones de seguridad, como almacenar el c\u00f3digo de macro malicioso real en el archivo settings.xml y crear una tarea programada sin generar schtasks.exe para el segundo documento o utilizando, para el primer documento, un truco anti-emulaci\u00f3n destinado a ver si el tiempo de ejecuci\u00f3n no ha sido alterado, de lo contrario la macro se detiene”, dijeron los investigadores.<\/p>\n Sekoia dijo que la secuencia de ataque de HATVIBE demuestra superposiciones t\u00e9cnicas y de objetivos con Zebrocy relacionado con APT28. campa\u00f1as<\/a>lo que le permite atribuir el grupo UAC-0063 al grupo de hackers ruso con una confianza media.<\/p>\n “El tema del phishing de documentos armados indica una campa\u00f1a de ciberespionaje centrada en la recopilaci\u00f3n de inteligencia estrat\u00e9gica sobre las relaciones diplom\u00e1ticas entre los estados de Asia Central, especialmente sobre las relaciones exteriores de Kazajst\u00e1n, por parte de la inteligencia rusa”, a\u00f1adi\u00f3 la compa\u00f1\u00eda.<\/p>\n El desarrollo se produce cuando Recorded Future revel\u00f3 que varios pa\u00edses de Asia Central y Am\u00e9rica Latina han comprado la tecnolog\u00eda de escuchas telef\u00f3nicas del Sistema para Actividades Operativas de Investigaci\u00f3n (SORM) de al menos ocho proveedores rusos, como Citadel, Norsi-Trans y Protei, lo que podr\u00eda permitir que la inteligencia rusa agencias para interceptar las comunicaciones.<\/p>\n El SORM de Rusia es un aparato de vigilancia electr\u00f3nica capaz de interceptar una amplia gama de tr\u00e1fico de Internet y telecomunicaciones por parte de las autoridades sin el conocimiento de los propios proveedores de servicios. Permite monitorear las comunicaciones fijas y m\u00f3viles, as\u00ed como el tr\u00e1fico de Internet, Wi-Fi y las redes sociales, todo lo cual se puede almacenar en una base de datos con capacidad de b\u00fasqueda.<\/p>\n Se ha evaluado que los antiguos territorios sovi\u00e9ticos de Bielorrusia, Kazajst\u00e1n, Kirguist\u00e1n y Uzbekist\u00e1n, y las naciones latinoamericanas de Cuba y Nicaragua, muy probablemente hayan adquirido la tecnolog\u00eda para realizar escuchas telef\u00f3nicas a los ciudadanos.<\/p>\n “Si bien estos sistemas tienen aplicaciones de seguridad leg\u00edtimas, los gobiernos […] tienen un historial de uso indebido de las capacidades de vigilancia, incluida la represi\u00f3n de la oposici\u00f3n pol\u00edtica, periodistas y activistas, sin una supervisi\u00f3n efectiva o independiente”, Insikt Group dicho<\/a>.<\/p>\n “En t\u00e9rminos m\u00e1s generales, la exportaci\u00f3n de tecnolog\u00edas de vigilancia rusas probablemente seguir\u00e1 ofreciendo a Mosc\u00fa oportunidades para expandir su influencia, particularmente en \u00e1reas que considera que est\u00e1n bajo su esfera tradicional del “extranjero cercano”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Hackers-vinculados-a-Rusia-apuntan-a-Kazajstan-en-una-campana.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\nLa plataforma SORM de Rusia se vende en Asia Central y Am\u00e9rica Latina<\/h2>\n
<\/a><\/center><\/div>\n