El actor de amenazas conocido como V\u00edbora \u00e1rida<\/strong> se ha observado utilizando variantes actualizadas de su kit de herramientas de malware en sus ataques dirigidos a entidades palestinas desde septiembre de 2022.<\/p>\n Symantec, que est\u00e1 rastreando al grupo bajo su nombre de insecto Mantis, dicho<\/a> el adversario est\u00e1 “haciendo todo lo posible para mantener una presencia persistente en las redes objetivo”.<\/p>\n Tambi\u00e9n conocido por los nombres APT-C-23 y Halc\u00f3n del Desierto<\/a>el grupo de hackers ha estado vinculado a ataques dirigidos a Palestina y Medio Oriente al menos desde 2014.<\/p>\n Mantis ha utilizado un arsenal de herramientas de malware caseras como V\u00edboraRata<\/a>FrozenCell (tambi\u00e9n conocido como VolatileVenom) y Micropsia para ejecutar y ocultar sus campa\u00f1as en las plataformas Windows, Android e iOS.<\/p>\n Se cree que los actores de la amenaza son hablantes nativos de \u00e1rabe y tienen su base en Palestina, Egipto y Turqu\u00eda, seg\u00fan un informe. informe<\/a> publicado por Kaspersky en febrero de 2015. Informes p\u00fablicos anteriores tambi\u00e9n han empat\u00f3 el grupo<\/a> a la divisi\u00f3n de guerra cibern\u00e9tica de Ham\u00e1s.<\/p>\n En abril de 2022, se observ\u00f3 que personas israel\u00edes de alto perfil empleadas en organizaciones sensibles de defensa, aplicaci\u00f3n de la ley y servicios de emergencia fueron atacadas con una nueva puerta trasera de Windows denominada BarbWire.<\/p>\n Las secuencias de ataque montadas por el grupo generalmente emplean correos electr\u00f3nicos de phishing y credenciales sociales falsas para atraer a los objetivos para que instalen malware en sus dispositivos. <\/p>\n Los ataques m\u00e1s recientes detallados por Symantec implican el uso de versiones actualizadas de sus implantes personalizados Micropsia y Arid Gopher para violar objetivos antes de involucrarse en el robo de credenciales y la exfiltraci\u00f3n de datos robados.<\/p>\n Arid Gopher, un ejecutable codificado en el lenguaje de programaci\u00f3n Go, es una variante del malware Micropsia que fue documentado por primera vez<\/a> por Deep Instinct en marzo de 2022. El cambio a Go no es inusual, ya que permite que el malware permanezca oculto.<\/p>\n Micropsia, junto con su capacidad para lanzar cargas \u00fatiles secundarias (como Arid Gopher), tambi\u00e9n est\u00e1 dise\u00f1ado para registrar pulsaciones de teclas, tomar capturas de pantalla y guardar archivos de Microsoft Office dentro de archivos RAR para su extracci\u00f3n mediante una herramienta personalizada basada en Python.<\/p>\n \u00a1Convi\u00e9rtase en un profesional de respuesta a incidentes!<\/p>\n Descubra los secretos de la respuesta a incidentes a prueba de balas: \u00a1domine el proceso de 6 fases con Asaf Perlman, l\u00edder de IR de Cynet!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n “Arid Gopher, al igual que su predecesor Micropsia, es un malware ladr\u00f3n de informaci\u00f3n, cuya intenci\u00f3n es establecer un punto de apoyo, recopilar informaci\u00f3n confidencial del sistema y enviarla de regreso a una red C2 (comando y control)”, Deep Instinct dicho<\/a> En el momento.<\/p>\n La evidencia recopilada por Symantec muestra que Mantis se movi\u00f3 para implementar tres versiones distintas de Micropsia y Arid Gopher en tres conjuntos de estaciones de trabajo entre el 18 de diciembre de 2022 y el 12 de enero de 2023, como una forma de retener el acceso.<\/p>\n Arid Gopher, por su parte, ha recibido actualizaciones peri\u00f3dicas y reescrituras completas del c\u00f3digo, con los atacantes “mutando agresivamente la l\u00f3gica entre variantes” como mecanismo de evasi\u00f3n de detecci\u00f3n.<\/p>\n “Mantis parece ser un adversario decidido, dispuesto a dedicar tiempo y esfuerzo para maximizar sus posibilidades de \u00e9xito, como lo demuestra la extensa reescritura de malware y su decisi\u00f3n de compartimentar los ataques contra organizaciones individuales en m\u00faltiples l\u00edneas separadas para reducir las posibilidades de que toda la operaci\u00f3n sea detectado”, concluy\u00f3 Symantec.<\/p>\n <\/p>\n