Investigadores de la firma de seguridad Kaspersky han descubierto la existencia de un nuevo grupo de ciberdelincuentes llamado CloudSorcerer, el cual roba datos de las agencias gubernamentales rusas usando "una sofisticada herramienta de ciberespionaje" para ello.
Desde Kaspersky Lab aseguran que detectaron la existencia de esta banda en mayo y que recuerda a otra amenaza persistente avanzada (APT) denominada CloudWizard, la cual tuvo entre sus objetivos a organizaciones diplomáticas y de investigación en los territorios de Ucrania ocupados por Rusia el año pasado.
Ambos grupos usan códigos de malware que son completamente distintos, por ello Kaspersky cree que CloudSorcerer es, seguramente, un nuevo actor.
Su teoría es que la pandilla se habría inspirado en las técnicas de CloudWizard, pero desarrolla sus propias herramientas "únicas".
CloudSorcerer se sirve del repositorio GitHub como su servidor de comando y control inicial y se apoya en servicios legítimos en la nube, como Yandex Cloud y Dropbox para la vigilancia y la recopilación de datos de manera oculta.
Un malware muy sofisticado
Su malware se ejecuta de manera manual por parte del atacante en una máquina ya infectada. Además, incluye módulos que llevan a cabo tareas de manera independiente, como un módulo de comunicación o uno de recopilación de datos.
Este malware demuestra ser bastante sofisticado, ya que tiene la capacidad de adaptarse de manera dinámica al proceso en el que se ejecuta.
Gracias a él los piratas informáticos pueden recopilar información sobre los archivos y carpetas de las víctimas, copiar, mover, renombrar o eliminar archivos, leer datos de cualquier archivo y escribir en ellos, así como ejecutar funcionalidades avanzadas adicionales, como crear un nuevo servicio de Windows o modificar la configuración de uno existente.
La empresa de ciberseguridad de origen ruso no ha proporcionado detalles adicionales sobre los objetivos que tiene el grupo ni tampoco ha atribuido la campaña a ningún país o gobierno concreto. Kaspersky tampoco ha revelado cómo los piratas obtienen acceso inicial a las redes atacadas.
Por otro lado, Proofpoint ha aportado algunos detalles adicionales sobre la banda, a la que han seguido la pista. Aseguran que a finales de mayo fueron los autores de una campaña contra una organización estadounidense usando una cuenta de email que suplantaba a una organización de expertos "muy conocida" con una invitación falsa a un evento como señuelo.