Las autoridades ucranianas han advertido de los continuos ciberataques que está perpetrando InvisiMole, una banda de ciberespionaje que colabora desde hace años con el grupo de amenazas persistentes avanzadas (APT) Gamaredon.
Según recoge ZDNet, su alerta se produce una semana después de que el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA, por sus siglas en inglés) manifestara haber sido informado sobre nuevas campañas de phishing que difunden la puerta trasera LoadEdge y que están teniendo como objetivo a organizaciones ucranianas. Tal y como explicó, los correos electrónicos contienen un archivo adjunto, 501_25_103.zip, junto con un fichero de acceso directo (LNK). Si se abre, un archivo de aplicación HTML (HTA) descarga y ejecuta VBScript, el cual está diseñado para implementar LoadEdge.
Una vez que la puerta trasera ha formado un enlace a un servidor de comando y control (C2) de InvisiMole, se implementan y ejecutan otras cargas útiles de malware, incluido TunnelMole, un malware que abusa del protocolo DNS para formar un túnel para la distribución de software malicioso y de sus backdoors, RC2FM y RC2CL, los cuales destacan por sus amplias capacidades de espionaje. Además, la persistencia de estas ciberamenazas se mantiene a través del registro de Windows.
InvisiMole y su colaboración con Gamaredon
InvisiMole fue detectado por primera vez en el año 2018 por ESET, que indicó que sus dos backdoors convierten el dispositivo infectado en una cámara de video, permitiendo a los atacantes ver y escuchar lo que sucede en el lugar donde se encuentre el dispositivo. "De esta manera, los operadores de InvisiMole acceden al sistema, monitorean sus actividades y roban su información".
Entonces, la compañía de ciberseguridad apuntó que los actores detrás de este spyware han estado activos desde al menos 2013. Durante estos años, InvisiMole se ha dirigido a organizaciones de "alto perfil" en Europa del Este que están involucradas en actividades militares y misiones diplomáticas, y en 2020 ESET descubrió que había establecido una colaboración con el grupo ruso Gamaredon, también activo desde el 2013.
"Descubrimos que el arsenal de InvisiMole solo es liberado después de que otro grupo de amenazas, más específicamente Gamaredon, ya haya logrado infiltrarse en la red de interés y posiblemente haya obtenido privilegios administrativos. Esto permite al grupo InvisiMole idear formas creativas de operar bajo el radar", declaró en ese momento ESET.
Como recuerdan desde ZDNet, Palo Alto Networks también ha estado rastreando a Gamaredon y, el pasado mes de febrero, dijo que la APT había intentado comprometer a una "entidad gubernamental occidental" no identificada en Ucrania a través de ofertas de trabajo falsas.
"Las organizaciones ucranianas no solo tienen que lidiar con las RAT y el malware basado en vigilancia. ESET ha detectado tres formas de malware de limpieza, diseñado para destruir archivos y recursos de los ordenadores, en lugar de robar información o espiar a las víctimas", apunta el citado medio.