• Home /

  • /

  • La APT Careto regresa tras más de diez años inactiva con dos campañas de ciberespionaje

Ciberseguridad

La APT Careto regresa tras más de diez años inactiva con dos campañas de ciberespionaje

Kaspersky ha alertado sobre la reaparición de Careto, que ahora cuenta con técnicas maliciosas más sofisticadas.

2 minutos

Hacker/Ciberamenazas/Ciberataques

Investigadores han descubierto dos nuevas campañas maliciosas ejecutadas por la amenaza persistente avanzada (APT) Careto, que ha reaparecido más de una década después de su última intervención con nuevas técnicas maliciosas más sofisticadas.

Una APT es aquella que emplea técnicas de 'hackeo' continuas, clandestinas y avanzadas para acceder a un sistema con el fin de robar información y permanecer en él durante un tiempo prolongado, lo que puede resultar en consecuencias destructivas.

Investigadores de Kaspersky han reconocido dos nuevas campañas maliciosas llevadas a cabo por una conocida APT denominada Careto, cuya última aparición data de 2013 y que ha llevado a cabo dos campañas de ciberespionaje con un alto nivel de sofisticación.

La empresa de ciberseguridad ha comentado que el vector de infección inicial comprometido en este regreso de Careto a su actividad comercial se registró en el servidor del correo electrónico de la organización.

Este servidor, que empleaba el 'software' MDaemon, estaba infectado con una puerta trasera independiente que daba al atacante el control total de la red, según ha comprobado en su investigación. De ella también ha destacado que, para propagarse por la red interna, el grupo aprovechó una vulnerabilidad no identificada en una solución de seguridad.

De esta manera, pudo distribuir implantes maliciosos en varios equipos. Uno de los atacantes desplegó cuatro implantes sofisticados y multimodelos, diseñados por profesionales especializados para maximizar su impacto, según han puntualizado los expertos de Kaspersky.

El 'malware' multimodal de Careto incluye capacidades como grabación de micrófonos y robo de archivos, con el fin de recopilar información del sistema, nombres de usuario y credenciales, entre otros datos.

Los operadores del 'software' malicioso mostraron especial interés en historiales de formularios, datos de inicio de sesión de navegadores como Edge, Chrome, Opera o Firefox, así como 'cookies' de WeChat y WhatsApp.

Desde Kaspersky han adelantado también que las víctimas objetivo de los ataques de Careto en este último ataque pertenecen a una organización ubicada en África Central y América Latina, que ya habría sido comprometidas en operaciones registradas hace diez años, así como en 2019 y 2022.