Kaspersky Lab ha registrado un ejemplo raro e inusual de un ciberataque atacando a otro. En 2014, Hellsing, un pequeño y técnicamente mediocre grupo ciberespionaje dirigido principalmente a organizaciones gubernamentales y diplomáticas en Asia, fue sometido a un ataque de phishing por parte de otro actor y decidió contraatacar. Kaspersky Lab considera que esto podría marcar el surgimiento de una nueva tendencia en la actividad cibercriminal: las guerras APT.

El descubrimiento fue realizado por los expertos de Kaspersky Lab durante la investigación de Naikon, un grupo de ciberespionaje también dirigido organizaciones de la región Asia-Pacífico. Los expertos notaron que uno de los objetivos de Naikon había descubierto el intento de infectar sus sistemas con un correo electrónico de phishing que llevaba un archivo malicioso adjunto.

El receptor (objetivo de los ciberdelincuentes) puso en duda la autenticidad del correo electrónico y no abrió el archivo adjunto. Poco después, el receptor reenvió de vuelta al remitente un correo electrónico que contenía el malware recibido. Esto desencadenó la investigación de Kaspersky Lab y condujo al descubrimiento del grupo APT Hellsing.

El método de contraataque indica que Hellsing quiso identificar al grupo Naikon y reunir información sobre el mismo. Un análisis más profundo del actor amenaza Hellsing revela un rastro de correos electrónicos phishing lanzados con archivos adjuntos maliciosos diseñados para propagar malware destinado al espionaje entre diferentes organizaciones.

Si la víctima abría el archivo adjunto malicioso, su sistema se infectaba con un backdoor personalizado capaz de descargar y cargar archivos, actualización y desinstalación de sí mismo. Según las observaciones de Kaspersky Lab, el número de organizaciones atacadas por Hellsing es de unas 20.

Objetivos Hellsing
La compañía ha detectado y bloqueado el software malicioso Hellsing en Malasia, Filipinas, India, Indonesia y EE.UU, estando la mayoría de las víctimas localizadas en Malasia y Filipinas. Los atacantes también son muy selectivos en cuanto al tipo de organizaciones a las que se dirige, tratando de infectar en su mayoría a entidades gubernamentales y diplomáticas.

«El objetivo del ataque de Hellsing a Naikon en una especie de venganza-cacería estilo «Empire Strikes Back » es fascinante. En el pasado, hemos visto grupos APT atacarse accidentalmente entre sí mientras robaban libretas de direcciones de las víctimas y luego enviaban correos masivos a todos ellos. Sin embargo, teniendo en cuenta la orientación y el origen del ciberataque, parece más que probable que este sea un ejemplo de un ataque APT-on-APT deliberado», afirma Costin Raiu, director del GREAT de Kaspersky Lab.

Según el análisis de Kaspersky Lab, Hellsing ha estado activo desde al menos 2012 y permanece activo.

Protección
Para protegerse contra los ataques de Hellsing, Kaspersky Lab recomienda las siguientes prácticas de seguridad básicas:
* No abras archivos adjuntos sospechosos de personas que no conoces
* Ten cuidado con los archivos protegidos mediante contraseñas que contienen SCR u otros archivos ejecutables dentro
* Si no estás seguro de los datos adjuntos del correo, intenta abrirlo en una sandbox
* Asegúrate de que tienes un sistema operativo actualizado con todos los parches instalados
* Actualiza todas las aplicaciones de terceros, como Microsoft Office, Java, Adobe Flash Player y Adobe Reader.

Los productos de Kaspersky Lab detectan con éxito y bloquean el malware utilizado tanto por los actores Hellsing y Naikon.