Los investigadores de Google dicen que hay evidencia de que un notorio grupo de piratería vinculado a Rusia, al que se le conoce como "ColdRiver", está evolucionando sus tácticas desde el phishing hasta el malware de robo de datos dirigido a las víctimas.
ColdRiver, también conocido como "CallistoGroup" y "StarBlizzard", es conocido por sus actividades de espionaje a largo plazo contra países de la OTAN, especialmente Estados Unidos y Reino Unido.
Los investigadores creen que las actividades del grupo a menudo apuntan a personas y organizaciones de alto perfil involucradas en asuntos internacionales y defensa, lo que indica sus estrechos vínculos con Rusia. En diciembre, los fiscales estadounidenses acusaron a dos rusos con vínculos con el grupo.
En una nueva investigación de esta semana, el Grupo de Análisis de Amenazas (TAG) de Google dijo que observó que ColdRiver intensificaba sus actividades en los últimos meses y utilizaba nuevas tácticas capaces de causar más daño a sus víctimas, principalmente objetivos en Ucrania y sus aliados de la OTAN, instituciones académicas y organizaciones no gubernamentales.
Estos últimos hallazgos se producen poco después de que los investigadores de Microsoft informaran que el grupo de hackers alineado con Rusia había mejorado su capacidad para evadir la detección.
Los investigadores de TAG compartieron la investigación antes de su publicación el jueves, en la que señalaron que ColdRiver se ha alejado de su táctica habitual de phishing para obtener credenciales y, en cambio, propaga el malware a través de campañas que utilizan documentos PDF como cebo.
TAG dijo que desde noviembre de 2022, ColdRiver ha enviado una serie de documentos PDF a objetivos, que están disfrazados de artículos de edición de opinión u otro tipo de artículos, y las cuentas engañadas esperan solicitar comentarios sobre estos artículos.
Cuando una víctima abre un archivo PDF benigno, el texto aparece cifrado. Si el objetivo responde que no puede leer el documento, los piratas informáticos envían un enlace a una herramienta de "descifrado", que según los investigadores de Google es una puerta trasera personalizada rastreada como "SPICA". Google dijo que este es el primer malware personalizado desarrollado y utilizado por ColdRiver. Esta puerta trasera permite a los atacantes acceder continuamente a la máquina de la víctima, ejecutar comandos, robar cookies del navegador y filtrar documentos.
Billy Leonard, ingeniero de seguridad de TAG, dijo que Google no conoce el número de víctimas comprometidas con éxito por SPICA, pero dijo que Google cree que SPICA sólo se utiliza para "ataques dirigidos muy limitados". Leonard agregó que es probable que el malware todavía esté en desarrollo activo y se esté utilizando en ataques en curso, y que la actividad de ColdRiver se ha "mantenido bastante constante en los últimos años" a pesar de las acciones policiales.
Google dijo que después de descubrir la campaña de malware ColdRiver, el gigante tecnológico agregó todos los sitios web, dominios y archivos identificados a su servicio de Navegación Segura para evitar que la campaña se dirigiera aún más a los usuarios de Google.
Los investigadores de Google han vinculado previamente al grupo ColdRiver con una operación de piratería y filtración que robó y filtró una gran cantidad de correos electrónicos y documentos de altos partidarios del Brexit, incluido Sir Richard Dearlove, ex jefe de la agencia de inteligencia exterior británica MI6.