• Home /

  • Ciberseguridad /

  • Así opera GoldenJackal, el grupo de cibermalos que espía a gobiernos de Asia y Oriente Medio

Así opera GoldenJackal, el grupo de cibermalos que espía a gobiernos de Asia y Oriente Medio

Llevan desde 2019 apuntando contra entidades gubernamentales y diplomáticas de la región y actuando de manera sigilosa.

Alberto Payo

Periodista

Guardar

Golden Jackal.
Golden Jackal.

Cada cierto tiempo sale a la luz la existencia de un grupo de amenazas persistentes avanzadas (APT) que opera en las sombras o sin demasiada publicidad. 

Uno que hasta la fecha ha pasado casi desapercibido es Golden Jackal. Este grupo de piratas informáticos ha estado apuntando a organismos diplomáticos y gubernamentales de países de Asia y Oriente Medio desde hace cuatro años, con fines de espionaje a largo plazo. 

Los 'chacales dorados' se han movido con mucho sigilo y mantenido un perfil bajo, escogiendo a sus víctimas cuidadosamente y modulando su volumen de ataques al mínimo para no exponerse demasiado, según recoge Bleeping Computer

La compañía de seguridad Kaspersky lleva siguiéndoles la pista desde 2020 y ha dado algunos detalles sobre ellos. Aseguran que últimamente han tenido una actividad notable en Afganistán, Azerbaiyán, Irán, Irak, Pakistán y Turquía. 

Las herramientas maliciosas de los chacales dorados

Aunque los vectores de infección de este grupo APT no son muy conocidos, parece que los investigadores han encontrado indicios de operaciones de phising con documentos maliciosos que emplean la técnica de inyección remota de plantiilas con el fin de explotar la vulnerabilidad de Microsoft Office Follina. 

Kaspersky también ha hallado que estos ciberdelincuentes colocan un troyano junto a copias ilegítmas del programa Skype for Business, la versión para negocios de la clásica herramienta de videoconferencias. 

Pero el 'arsenal de armas maliciosas' de Golden Jackal no acaba aquí´. Además, usarían un conjunto de herramientas de malware personalizadas que brindan varias funciones, incluyendo el volcado de credenciales, el robo de datos, la carga de malware, el movimiento lateral, la exfiltración de archivos y más. 

Otra herramienta usada por el grupo APT es JackalSteal, un implante dedicado a la exfiltración de datos de todas las unidades lógicas en el equipo comprometido. Esto incluiría los recursos compartidos y también las unidades USB que se conecten a dicho ordenador. 

En este sentido, los cibermalos tienen otra herramienta llamada JackalWOrm, que infecta unidades USB externas para propagarse a otros ordenadores potencialmente valiosos. Cuando el malware detecta una unidad USB extraíble se copia en ella en la raíz de la unidad, con el mismo nombre del directorio y cambiando el atributo del directorio original a oculto para hacerse pasar por él.

La pandilla usa también JacklPerInfo, un recopilador de información de navegación y las credenciales almacenadas en los navegadores web. Kaspersky también menciona JackalScreenWatcher, que se usa para tomar capturas de pantalla en el dispositivo infectado. 

"GoldenJackal es un grupo APT, activo desde 2019, que generalmente se dirige a entidades gubernamentales y diplomáticas en Oriente Medio y el Sur de Asia", explica la firma de seguridad. 

"A pesar de que comenzaron sus actividades hace años, este grupo es generalmente desconocido y, hasta donde sabemos, no ha sido descrito públicamente".