{"id":726228,"date":"2023-04-27T14:54:29","date_gmt":"2023-04-27T14:54:29","guid":{"rendered":"https:\/\/teknomers.com\/es\/paperbug-attack-nueva-campana-de-vigilancia-con-motivaciones-politicas-en-tayikistan\/"},"modified":"2023-04-27T14:54:32","modified_gmt":"2023-04-27T14:54:32","slug":"paperbug-attack-nueva-campana-de-vigilancia-con-motivaciones-politicas-en-tayikistan","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/paperbug-attack-nueva-campana-de-vigilancia-con-motivaciones-politicas-en-tayikistan\/","title":{"rendered":"Paperbug Attack: nueva campa\u00f1a de vigilancia con motivaciones pol\u00edticas en Tayikist\u00e1n"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Un grupo de ciberespionaje de habla rusa poco conocido ha sido vinculado a una nueva campa\u00f1a de vigilancia de motivaci\u00f3n pol\u00edtica dirigida a funcionarios gubernamentales de alto rango, servicios de telecomunicaciones e infraestructuras de servicios p\u00fablicos en Tayikist\u00e1n.<\/p>\n

El set de intrusi\u00f3n, apodado bicho de papel<\/strong> por la empresa suiza de ciberseguridad PRODAFT, se ha atribuido a un actor de amenazas conocido como Pulpo n\u00f3mada<\/strong> (tambi\u00e9n conocido como DustSquad).<\/p>\n

“Los tipos de m\u00e1quinas comprometidas van desde computadoras individuales hasta [operational technology] “Estos objetivos hacen que la operaci\u00f3n ‘Paperbug’ est\u00e9 impulsada por la inteligencia”.<\/p>\n

El motivo final detr\u00e1s de los ataques no est\u00e1 claro en esta etapa, pero la firma de seguridad cibern\u00e9tica ha planteado la posibilidad de que podr\u00eda ser el trabajo de las fuerzas de oposici\u00f3n dentro del pa\u00eds o, alternativamente, una misi\u00f3n de recopilaci\u00f3n de inteligencia llevada a cabo por Rusia o China.<\/p>\n

El pulpo n\u00f3mada sali\u00f3 a la luz por primera vez en octubre de 2018 cuando ESET<\/a> y kaspersky<\/a> detall\u00f3 una serie de ataques de phishing montados por el actor contra varios pa\u00edses de Asia Central. Se estima que el grupo ha estado activo desde al menos 2014.<\/p>\n

Las ciberofensivas han implicado el uso de malware personalizado de Android y Windows para atacar a una combinaci\u00f3n de entidades de alto valor como gobiernos locales, misiones diplom\u00e1ticas y bloggers pol\u00edticos, lo que aumenta la posibilidad de que el actor de la amenaza est\u00e9 probablemente involucrado en operaciones de cibervigilancia.<\/p>\n

El malware de Windows, denominado Pulpo<\/a> y que se hizo pasar por una versi\u00f3n alternativa de la aplicaci\u00f3n de mensajer\u00eda Telegram, es una herramienta basada en Delphi que permite al adversario vigilar a las v\u00edctimas, desviar datos confidenciales y obtener acceso de puerta trasera a sus sistemas a trav\u00e9s de un panel de comando y control (C2).<\/p>\n

Un an\u00e1lisis posterior de Seguridad<\/a> en diciembre de 2019 destac\u00f3 los ataques del grupo de amenazas persistentes avanzadas (APT) contra el Ministerio de Relaciones Exteriores de Uzbekist\u00e1n para desplegar Octopus.<\/p>\n

Los hallazgos de PRODAFT son el resultado del descubrimiento de un entorno operativo administrado por Nomadic Octopus desde 2020, lo que convierte a Paperbug en la primera campa\u00f1a orquestada por el grupo desde Octopus.<\/p>\n

Seg\u00fan los datos recopilados por la empresa, el actor de amenazas logr\u00f3 acceder a la red de una empresa de telecomunicaciones, antes de moverse lateralmente a m\u00e1s de una docena de objetivos centrados en redes gubernamentales, ejecutivos y dispositivos OT con vulnerabilidades conocidas p\u00fablicamente. Se desconoce exactamente c\u00f3mo y cu\u00e1ndo se infiltr\u00f3 la red de telecomunicaciones.<\/p>\n

\"Motivado<\/div>\n

“La Operaci\u00f3n PaperBug se alinea con la tendencia com\u00fan de atacar la infraestructura del gobierno de Asia Central que recientemente se hizo m\u00e1s prominente”, se\u00f1al\u00f3 PRODAFT.<\/p>\n

Se cree que Nomadic Octopus exhibe cierto nivel de cooperaci\u00f3n con otro actor del estado-naci\u00f3n ruso conocido como Sofacy (tambi\u00e9n conocido como APT28, Fancy Bear, Forest Blizzard o FROZENLAKE), seg\u00fan victimolog\u00eda<\/a> superposiciones<\/p>\n

Los \u00faltimos ataques implicaron adem\u00e1s el uso de una variante de Octopus que viene con funciones para tomar capturas de pantalla, ejecutar comandos de forma remota y descargar y cargar archivos desde y hacia el host infectado a un servidor remoto. Uno de tales artefacto<\/a> se subi\u00f3 a VirusTotal el 1 de abril de 2021.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n

Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

Una mirada m\u00e1s cercana al servidor de comando y control (C2) revela que el grupo logr\u00f3 ingresar con \u00e9xito un total de 499 sistemas a partir del 27 de enero de 2022, algunos de los cuales incluyen dispositivos de red gubernamentales, estaciones de servicio y una caja registradora.<\/p>\n

El grupo, sin embargo, no parece poseer conjuntos de herramientas avanzados ni estar demasiado preocupado por cubrir sus huellas en las m\u00e1quinas de las v\u00edctimas a pesar de la naturaleza de alto riesgo de los ataques.<\/p>\n

“Mientras operaban en las m\u00e1quinas comprometidas para robar informaci\u00f3n, a veces, sin darse cuenta, generaban ventanas emergentes de permiso en las computadoras de las v\u00edctimas, lo que generaba sospechas por parte de la v\u00edctima”, se\u00f1al\u00f3 la compa\u00f1\u00eda. “Sin embargo, esto se resolvi\u00f3 debido a que el grupo nombr\u00f3 diligentemente los archivos que transfieren como programas benignos y discretos”.<\/p>\n

La misma t\u00e1ctica se extiende a nombrar sus herramientas maliciosas tambi\u00e9n, con el grupo camufl\u00e1ndolas como navegadores web populares como Google Chrome, Mozilla Firefox y Yandex para pasar desapercibidos.<\/p>\n

Dicho esto, las cadenas de ataque de Paperbug se caracterizan en gran medida por el uso de herramientas ofensivas p\u00fablicas y t\u00e9cnicas gen\u00e9ricas, que act\u00faan efectivamente como una “capa” para el grupo y hacen que la atribuci\u00f3n sea mucho m\u00e1s desafiante.<\/p>\n

“Este desequilibrio entre las habilidades del operador y la importancia de la misi\u00f3n podr\u00eda indicar que los operadores han sido reclutados por alguna entidad que les proporcion\u00f3 una lista de comandos que deben ejecutarse exactamente en cada m\u00e1quina”, dijo PRODAFT, y agreg\u00f3 que “el operador sigue un lista de verificaci\u00f3n y se ve obligado a apegarse a ella”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n