Ciberataques de Careto: El Regreso de una Amenaza Persistente y Sofisticada

Después de una década de silencio, el grupo de amenazas persistentes avanzadas (APT) conocido como Careto ha vuelto a la acción, lanzando dos nuevas y complejas campañas de ciberespionaje que demuestran un alto nivel de sofisticación. Estas campañas, descubiertas por los analistas de Kaspersky, se han dirigido a organizaciones en América Latina y África Central, con el objetivo de robar una amplia gama de archivos y datos, así como obtener el control general de los dispositivos infectados.

El Regreso de Careto: Técnicas Maliciosas Avanzadas

Careto, un grupo APT conocido por sus sofisticados ataques a organizaciones gubernamentales, entidades diplomáticas, empresas de energía e instituciones de investigación, había desaparecido de la escena cibernética desde 2013. Sin embargo, el último informe trimestral de Kaspersky sobre tendencias APT revela detalles sobre las recientes campañas maliciosas llevadas a cabo por este grupo, indicando su regreso a la actividad cibercriminal.

Vectores de Infección y Propagación

El vector de infección inicial comprometido fue el servidor de correo electrónico de la organización, que utilizaba el software MDaemon. Este servidor estaba infectado con un backdoor independiente, lo que permitía al atacante tener el control total de la red. Para propagarse por la red interna, el grupo aprovechó una vulnerabilidad no identificada en una solución de seguridad, lo que les permitió distribuir implantes maliciosos en varios equipos.

Implantes Multimodales y Funcionalidades Avanzadas

El atacante desplegó cuatro implantes sofisticados y multimodales, diseñados por profesionales especializados para maximizar su impacto. Este malware multimodal incluye funciones como grabación de micrófonos y robo de archivos, con el objetivo de recopilar información del sistema, nombres de usuario, contraseñas, rutas de directorios locales y más. Los operadores mostraron un interés particular en documentos confidenciales de la organización, cookies, historiales de formularios y datos de inicio de sesión de navegadores como Edge, Chrome, Firefox y Opera, así como cookies de apps de mensajería como Threema, WeChat y WhatsApp.

Víctimas Objetivo y Actividad Histórica de Careto

Según Kaspersky, las víctimas objetivo de los implantes de Careto en este último ataque pertenecen a una organización ubicada en América Latina, la cual ya había sido comprometida en ataques anteriores en 2022, 2019 y hace 10 años, y una organización en África Central. A lo largo de los años, Careto ha ido desarrollando malware que demuestra un nivel de complejidad notablemente alto. Los implantes recién descubiertos son estructuras multimodales, con tácticas y técnicas de implementación únicas y sofisticadas. Su presencia indica la naturaleza avanzada de las operaciones de Careto. afirma Georgy Kucherin, investigador de seguridad del GReAT de Kaspersky.

Recomendaciones para Evitar Ser Víctima

Para evitar ser víctima de un ataque dirigido, los analistas de Kaspersky recomiendan:

• Proporcionar al equipo SOC acceso a la inteligencia sobre amenazas (TI) más reciente.
• Capacitar al equipo de ciberseguridad para hacer frente a las últimas amenazas dirigidas con la formación online de Kaspersky.
• Utilizar soluciones EDR como Kaspersky NEXT para la detección, investigación y reparación oportunas de incidentes en puntos finales.
• Adoptar una solución de seguridad a nivel empresarial que detecte amenazas avanzadas a nivel de red en una fase temprana, como Kaspersky Anti Targeted Attack Platform.

Conclusión

El regreso de Careto, un grupo APT conocido por sus sofisticados ataques, demuestra que las amenazas cibernéticas más avanzadas siguen evolucionando y representan un peligro constante para las organizaciones. Es crucial que las empresas y entidades tomen medidas proactivas para protegerse contra estos ataques dirigidos, manteniendo una vigilancia constante y adoptando soluciones de seguridad especializadas.