Tras la fuga pública de archivos de Hacking Team, una serie de grupos de ciberespionaje ha empezado a usar con propósitos maliciosos las herramientas que Hacking Team proporcionaba a sus clientes para llevar a cabo ataques. Esto incluye varios exploits dirigidos Adobe Flash Player y Windows OS. Al menos uno de ellos ha sido re-utilizado por el poderoso actor Darkhotel.

Kaspersky Lab descubrió que Darkhotel, un equipo de espionaje de élite destapado por los expertos de la compañía en 2014 y que se hizo famoso por infiltrarse en las redes Wi-Fi de hoteles de lujo para comprometer a ejecutivos, ha estado usando una vulnerabilidad de zero-day procedente de la colección de Hacking Team desde principios de julio (justo después de que se produjese la fuga de archivos el pasado día 5 de ese mes). Pese a no ser conocido como cliente de Hacking Team, el grupo Darkhotel parece haber acaparado los archivos una vez se hicieron públicos.

Este no es el único zero-day del grupo. Según las estimaciones de Kaspersky Lab, en los últimos años pueden haber usado más de media docena de zero-day dirigidos a Adobe Flash Player, invirtiendo, aparentemente, una cantidad significativa de dinero en complementar su arsenal. En 2015, el grupo Darkhotel extendió su alcance geográfico sin olvidar sus objetivos de spearphish en Corea del Norte y Corea del Sur, Rusia, Bangladesh, Tailandia, India, Mozambique y Alemania.

Asistencia colateral de Hacking Team

Los investigadores de seguridad de Kaspersky Lab han registrado nuevas técnicas y actividades por parte de Darkhotel. En los ataques realizados en 2014 y anteriormente, el grupo usó certificados de firma de códigos robados y empleó métodos inusuales como comprometer la red Wi-Fi del hotel para colocar herramientas de espionaje en los sistemas objetivo. En 2015, muchas de estas técnicas y actividades se han mantenido pero Kaspersky Lab también ha descubierto nuevas variantes de archivos ejecutables maliciosos:

* El uso continuo de certificados robados. Darkhotel parecía mantener un stock de estos certificados y despliega sus descargadores y sus backdoors firmados con ellos para engañar al sistema de destino. Algunos de los certificados revocados más recientes

incluyen a Xuchang Hongguang Technology Co. Ltd., la empresa cuyos certificados fueron utilizados en ataques previos realizados por este actor.

* Implacable spearphishing. El APT Darkhotel es de hecho persistente: trata de engañar a un objetivo y si no tiene éxito lo vuelve a intentar varios meses después con los mismos esquemas de ingeniería social.

* Despliegue del exploit día cero del Hacking Team. La página web comprometida, tisone360.com, contiene un conjunto de backdoors y exploits. Lo más interesante de esto es la vulnerabilidad día cero de Flash del Hacking Team.

“Darkhotel ha vuelto con un nuevo exploit de Adobe Flash Player alojado en una web comprometida y esta vez parece haber sido impulsado por la fuga del Hacking Team. El grupo entregó, previamente, un exploit de Flash diferente en la misma web, que hemos reportado como un día cero de Adobe en enero de 2014. Darkhotel parece haber quemado una pila de día cero de Flash y exploits de medio día en los últimos años y puede haber acumulado más para llevar a cabo ataques dirigidos a personas de alto rango en todo el mundo. Desde los ataques anteriores, conocemos que Darkhotel espía a CEOS, vicepresidentes senior, directores de ventas y marketing y altos cargos de I+D”, ha comentado Kurt Baumgartner, investigador principal de seguridad de Kaspersky Lab

Desde el año pasado, el grupo ha trabajado para mejorar sus técnicas defensivas, por ejemplo mediante la ampliación de su lista de tecnología anti-detección. La versión 2015 del programa de descarga Darkhotel está diseñado para identificar las tecnologías antivirus de 27 proveedores, con la intención de pasar sobre ellos.