Cooper Quintín tiene estado rastreando las actividades de un grupo de mercenarios cibernéticos llamado Dark Caracal durante años. El 28 de julio de 2022, dijo que descubrió rastros de una nueva campaña de piratería en curso por parte del grupo en República Dominicana y Venezuela. Mientras analizaba los dominios que los hackers estaban usando como servidores de comando y control, hizo un descubrimiento sorprendente.
“Durante más de cuatro meses, no se dieron cuenta de que se habían olvidado de registrar uno de los dominios clave enumerados en su malware”. Quintínque es investigador principal de seguridad en el grupo de derechos digitales Electronic Frontier Foundation, dijo a TechCrunch.
Quintin rápidamente se dio cuenta de que si podía registrar el dominio y tomar el control de él (un mecanismo llamado sumidero en la jerga de ciberseguridad), podría obtener una vista en tiempo real de las acciones de los piratas informáticos y, lo que es más importante, sus objetivos.
Dijo que hizo el descubrimiento al final del día, pero que inmediatamente comenzó a «molestar» a los abogados de la EFF para obtener permiso para registrar el dominio y socavarlo. Al día siguiente, Quintin obtuvo luz verde y se infiltró efectivamente en la operación de piratería de Dark Caracal.
Al momento de escribir este artículo, todavía está monitoreando sigilosamente las actividades de los piratas informáticos. Y por lo que Quintin puede decir, los piratas informáticos aún no se han dado cuenta de eso.
“Pensé que tal vez obtendría un par de días de información para una semana o dos como máximo. Nunca pensé que obtendría varios meses de información”, dijo.
Gracias al sumidero, Quintin descubrió que los piratas informáticos han apuntado a más de 700 computadoras desde marzo del año pasado, principalmente en República Dominicana y Venezuela.
El dominio que tomó Quintin no era el servidor principal de comando y control, era uno de los tres, pero aún tenía un objetivo importante: descargar funcionalidad adicional para el malware, llamada Bandook. Eso, sin embargo, significó que Quintin no obtuvo información granular sobre los objetivos y sus identidades, aparte de las direcciones IP.
Además, cuando decidieron tomar el control del dominio de Dark Caracal, Quintin y sus colegas decidieron que no querían recopilar demasiada información personal.
“Queríamos asegurarnos de no violar más la privacidad de las personas que han sido infectadas”, dijo.
Con ese objetivo en mente, tomaron la peculiar decisión de poner una política de privacidad en el sitio web del sumidero, que dice que la EFF «hará todo lo posible para anonimizar cualquier dato recopilado por SINKHOLE antes de publicar o compartir o dentro de un cierto período de tiempo». entre otras prácticas destinadas a proteger a las víctimas de la campaña de piratería.
La EFF ha estado rastreando a Dark Caracal desde 2015. En 2020, Quintin y la directora de ciberseguridad de la EFF, Eva Galperin, publicaron un informe sobre una campaña de piratería informática centrada en objetivos libaneses. Los investigadores de EFF concluyeron en ese momento que la campaña de piratería fue a instancias del gobierno libanés y la vincularon a una campaña de 2016 en Kazajstán.
El hecho de que a lo largo de los años el grupo haya estado apuntando a diferentes víctimas en diferentes países hizo que los investigadores de EFF concluyeran que Dark Caracal no es un grupo tradicional de piratería del gobierno, sino más bien un grupo que los gobiernos y quizás otras organizaciones contratan para piratear a quien sea que estén interesados. .
“Creemos que son un grupo de mercenarios cibernéticos, parecen haber trabajado para varios estados, incluidos Líbano y Kazajstán. Y ahora parece que están haciendo algún trabajo en América Latina”, dijo Quintin. (Quintin y sus colegas no pudieron determinar para quién está trabajando Dark Caracal aquí).
Los investigadores de la EFF creen que Dark Caracal es el mismo grupo detrás de una campaña reportada por la firma de seguridad cibernética ESET en 2021, que apuntaba a computadoras principalmente en Venezuela. Matias Porolli, un investigador de ESET que trabajó en ese informe, le dijo a TechCrunch que investigó la campaña actual cuando Quintin le pidió ayuda. Porolli dijo que concluyó que esta campaña reciente está siendo realizada por el mismo grupo que ESET rastreó en 2021.
Sin embargo, Porolli dijo que no tienen suficientes datos para concluir que la campaña de 2021 fue efectivamente realizada por Dark Caracal. Una de las migas de pan que apunta a Dark Caracal es el uso de un spyware, o troyano de acceso remoto, comúnmente conocido como RAT, llamado Bandook.
“Es el mismo malware, Bandook, pero podría ser utilizado por diferentes grupos”, dijo Porolli.
Cooper, sin embargo, dijo que cree que el uso del mismo malware es un vínculo lo suficientemente fuerte, dado que Bandook no es de código abierto ni parece estar disponible abiertamente. Además, los piratas informáticos han mejorado lentamente Bandook a lo largo de los años, agregando diferentes funciones al software espía, lo que sugiere que son el mismo grupo que mejora sus propias herramientas.
Y sus herramientas y técnicas están mejorando lentamente.
“No estamos tratando exactamente con los mejores del mundo aquí. Pero independientemente, todavía hacen el trabajo. Claramente pueden llevar a cabo grandes campañas e infectar muchas computadoras”, dijo Quintin. “Creo que es importante prestar atención a estos médicos de bajo nivel, porque están trabajando mucho. Y creo que están trabajando tanto como los tipos más conocidos como NSO Group, y creo que son igual de peligrosos de una manera diferente”.
La pelota ahora está en la cancha de Dark Caracal. ¿Se darán cuenta de que han sido infiltrados ahora que las acciones de Quintin son públicas?
“Si yo fuera ellos, estaría leyendo el blog de EFF buscando mi nombre”, dijo Quintin riendo.
¿Tienes más información sobre Dark Caracal? ¿O tienes información sobre otros grupos de hackers mercenarios? Nos encantaría saber de usted. Puede ponerse en contacto con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Wickr, Telegram and Wire @lorenzofb, o enviar un correo electrónico a [email protected]. También puede comunicarse con TechCrunch a través de SecureDrop.