El grupo Transparent Tribe, también llamado PROJECTM y MYTHIC LEOPARD, es muy prolífero y conocido en el sector de la ciberseguridad por sus campañas masivas de espionaje. Su actividad comenzó en el año 2013 y Kaspersky lleva vigilando a este grupo desde el 2016.
En enero del año pasado, esta compañía de ciberseguridad empezó a investigar una campaña lanzada por Transparent Tribe, cuya finalidad era distribuir el troyano de acceso remoto (RAT), Crimson. En tan solo un año, los investigadores encontraron más de 1.000 objetivos en cerca de 30 países y ahora Kaspersky ha revelado algunas de las conclusiones de la primera parte de su investigación.
Las primeras conclusiones sobre Transparent Cribe
Según ha indicado Kaspersky, el método favorito de infección de Transparent Tribe es utilizar documentos maliciosos a través de una macro integrada y su principal malware es un RAT personalizado .NET, conocido públicamente como Crimson RAT.
Las tácticas y técnicas del grupo han permanecido constantes a lo largo de los años, pero ha estado creando nuevos programas para campañas específicas.
Esta herramienta está formada por distintos elementos que permiten al atacante realizar numerosas actividades en los equipos infectados, tales como la gestión de sistemas de archivos remotos y las capturas de pantalla, la vigilancia de audio mediante dispositivos con micrófonos, la grabación de secuencias de vídeo de cámaras web y el robo de archivos de dispositivos extraíbles.
Kaspersky también señala que las tácticas y técnicas del grupo han permanecido constantes a lo largo de los años, pero que su investigación ha evidenciado que ha estado creando nuevos programas para campañas específicas.
En el último año, se detectó un archivo .NET que fue descubierto por los productos de la compañía como Crimson RAT y, en un análisis más exhaustivo, se ha demostrado que se trataba de un elemento distinto: un nuevo componente Crimson RAT del lado del servidor, utilizado por los atacantes para gestionar las máquinas infectadas.
"Fue recopilado en dos versiones, en 2017, 2018 y 2019, lo que indica que este software todavía está en desarrollo y el grupo APT trabaja en formas de mejorarlo", apunta la compañía.
Por medio de la lista de elementos utilizados por Transparent Tribe, la empresa de ciberseguridad ha podido observar la evolución del grupo y la forma en que ha intensificado su actividad, ha lanzado amplias campañas de infección, ha desarrollado nuevos instrumentos y ha aumentado su enfoque en Afganistán.
Los países más afectados por Transparent Tribe
A escala global, y teniendo en cuenta todos los elementos detectados entre junio de 2019 y junio de 2020, el equipo de investigación de Kaspersky ha encontrado 1.093 objetivos en 27 países, siendo Afganistán, Pakistán, India, Irán y Alemania los países más afectados.