La compañía de ciberseguridad Kaspersky ha informado de que ha detectado una nueva campaña del agente de amenaza avanzada persistente (APT, por sus siglas en inglés) CactusPete, un grupo de ciberespionaje también conocido como Karma Panda o Tonto Team, dirigida a organizaciones militares y financieras de Europa oriental.
CactusPete lleva activo desde al menos 2012 y, según advierte Kaspersky, en esta ocasión ha mejorado su puerta trasera, denominada Bisonal, para atacar a estas organizaciones y acceder a información confidencial.
"Además, la velocidad con la que se crean las nuevas muestras de malware sugiere que el grupo se está desarrollando rápidamente, por lo que las organizaciones que responden al perfil indicado en dicha área geográfica deben estar alerta", advierte la empresa en un comunicado.
Detectada por primera vez, en febrero de 2020
Esta última ola de actividad de CactusPete fue detectada en febrero de 2020, cuando se descubrió la versión actualizada de la puerta trasera del grupo y la pudieron vincular a otras 300 muestras que se encontraban "in the wild".
"Las 300 muestras aparecieron entre marzo de 2019 y abril de 2020 al ritmo de unas 20 por mes, lo que pone de relieve el hecho de que CactusPete se está desarrollando rápidamente. De hecho, el grupo ha seguido mejorando sus capacidades, con acceso a código más sofisticado como ShadowPad en 2020", subraya Kaspersky.
La compañía de ciberseguridad también destaca que la "funcionalidad de la carga maliciosa sugiere que el grupo está buscando información altamente sensible".
"Una vez instalado en el dispositivo de la víctima, la puerta trasera Bisonal permite al grupo activar silenciosamente varios programas, finalizar cualquier proceso, cargar/descargar/eliminar archivos y extraer la lista de unidades disponibles. Además, a medida que los operadores se adentran en el sistema infectado, despliegan keyloggers para hacerse con credenciales y descargar malware con elevación de privilegios para obtener gradualmente mayor control sobre el sistema", explica Kaspersky.
Respecto a esta campaña nueva campaña de Cactus Pete, la empresa también reconoce que no está claro cómo se lleva a cabo la descarga inicial de la puerta trasera y que, anteriormente, dicho grupo utilizaba técnicas de spear-phising mediante e-mails que contenían archivos adjuntos maliciosos que, si se abrían, infectaban el dispositivo.