ESET investiga a Donot Team: Ciberespionaje dirigido a militares y gobiernos en el sur de Asia

Los investigadores de ESET han descubierto campañas recientes y un arsenal de amenazas actualizado del infame grupo APT Donot Team (también conocido como APT-C-35 y SectorE02). Según los resultados de la investigación, el grupo es muy persistente y ha atacado sistemáticamente a las mismas organizaciones durante al menos los dos últimos años. Para esta investigación, ESET monitorizó a Donot Team durante más de un año, desde septiembre de 2020 hasta octubre de 2021. Según la telemetría de ESET, el grupo APT se centra en un pequeño número de objetivos principalmente en el sur de Asia: Bangladesh, Sri Lanka, Pakistán y Nepal. Sin embargo, atacar las embajadas de estos países en otras regiones, como Oriente Medio, Europa, América del Norte y América Latina, no está fuera del ámbito del grupo. Estos ataques se centran en organizaciones gubernamentales y militares, Ministerios de Asuntos Exteriores y embajadas, y están motivados por el ciberespionaje.

Donot Team es un grupo que opera desde al menos 2016 y que es conocido por tener como objetivos a organizaciones y personas del sur de Asia, a las que infecta con malware para Windows y Android. Un informe reciente de Amnistía Internacional vincula el software malicioso del grupo con una empresa india de ciberseguridad que podría estar vendiendo el software espía u ofreciendo un servicio de hackers por encargo a los gobiernos de la región.

“Hemos seguido de cerca las actividades de Donot Team, y hemos rastreado varias campañas que aprovechan el malware para Windows derivado del marco de malware yty de la firma del grupo”, afirma el investigador de ESET Facundo Muñoz, que dirigió la investigación sobre las actividades del grupo.

El objetivo principal del framework de malware «yty» es recopilar y exfiltrar datos. El framework malicioso consiste en una cadena de downloaders que, en última instancia, descargan una puerta trasera con una funcionalidad mínima, utilizada para descargar y ejecutar otros componentes del conjunto de herramientas de Donot Team. Entre ellos se encuentran los recolectores de archivos basados en la extensión de los mismos y en el año de creación, los capturadores de pantalla, los keyloggers y los reverse shells, entre otros.

Countries targeted in recent Donot Team campaigns
Según la telemetría de ESET, Donot Team ha estado atacando constantemente a las mismas entidades con oleadas de correos electrónicos dirigidos cada dos o cuatro meses. Los correos electrónicos dirigidos llevan adjuntos documentos maliciosos de Microsoft Office que los atacantes utilizan para desplegar su malware.

Curiosamente, los correos electrónicos que los investigadores de ESET pudieron recuperar y analizar no mostraban signos de suplantación de identidad. “Algunos correos electrónicos fueron enviados desde las mismas organizaciones que estaban siendo atacadas. Es posible que los atacantes hayan comprometido las cuentas de correo electrónico de algunas de sus víctimas en campañas anteriores, o el servidor de correo electrónico utilizado por esas organizaciones”, declara Muñoz.

En esta investigación , ESET ha analizado dos variantes del marco de malware yty: Gedit y DarkMusical. Los investigadores de ESET han decidido llamar a una de las variantes DarkMusical por los nombres que los atacantes eligieron para sus archivos y carpetas: muchos son celebridades del oeste o personajes de la película High School Musical de Disney. Esta variante se utilizó en campañas dirigidas a organizaciones militares en Bangladesh y Nepal.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.