El grupo de amenazas persistentes avanzadas Careto, también conocido como 'The Mask', es un actor de amenazas que lleva haciendo de las suyas desde al menos 2007. Sus objetivos suelen ser organizaciones de alto perfil, como gobiernos, instituciones diplomáticas y organismos de investigación. Careto suele usar implantes complejos, a menudo distribuidos mediante exploits de día cero.
La banda llevaba una década sin actuar, pero habría vuelto a las andadas. Así lo señala la compañía de seguridad Kaspersky. La firma de origen ruso participó en la 34ª Conferencia Internacional Virus Bulletin, donde una de sus charlas se centró en este APT.
"La última vez que publicamos nuestros hallazgos sobre La Máscara fue a principios de 2014 y, desde entonces, no habíamos podido descubrir más rastros de este actor", señala la empresa de ciberseguridad en un post.
Kaspersky habría identificado que un ataque dirigido a una organización de América Latina en 2022 podría tener detrás a este actor de amenazas. Los atacantes obtuvieron acceso a su servidor de email MDaemon y desde ahí mantuvieron la persistencia dentro de la organización gracias a un componente de correo web llamado WorldClient.
Seguía más activa de lo que parecía
Una vez examinada la información de la organización comprometida en 2022 la firma de seguridad encontró que también habría sido vulnerada con un ataque avanzado en 2019. Dicho incidente implicó el uso de dos marcos maliciosos denominados "Careto2" y "Gorrto".
Así, Kaspersky ha atribuido estos dos ataques con un nivel de confianza medio a alto a The Mask.
"Una de las primeras pistas de atribución que nos llamó la atención fueron varios nombres de archivos utilizados por el malware desde 2019, alarmantemente similar a los utilizados por The Mask hace más de 10 años", ha comentado la firma.
"Los nombres de DLL de los complementos de Careto2 obtenidos mediante fuerza bruta también resultaron ser similares a los nombres de los complementos utilizados por The Mask entre 2007 y 2013", ha añadido.
Kaspersky concluye diciendo que este actor sigue siendo tan poderoso como antes. Esto se debería a que Careto puede "inventar técnicas de infección extraordinarias, como la persistencia a través del servidor de correo electrónico MDaemon o la carga de implantes a través del controlador HitmanPro Alert, así como desarrollar malware complejo de múltiples componentes".
La compañía no duda en que la próxima campaña de esta banda "será tan sofisticada como las anteriores".