empresa de seguridad rusa Kaspersky lanzó hoy una nueva investigación que agrega otra pieza al rompecabezas de un grupo de piratas informáticos cuyas operaciones parecen extenderse más allá de lo que los investigadores pensaron anteriormente.
La investigación publicada la semana pasada por la firma de seguridad Malwarebytes arrojó nueva luz sobre un grupo de piratería, Red Stinger, que ha estado realizando operaciones de espionaje contra víctimas proucranianas en el centro de Ucrania y prorrusas en el este de Ucrania. Los hallazgos fueron intrigantes debido a la mezcla ideológica de los objetivos y la falta de conexiones con otros grupos de hackers conocidos. Unas semanas antes de que Malwarebytes publicara su informe, Kaspersky también había publicado una investigación sobre el grupo, al que llama Bad Magic, y concluyó de manera similar que el malware utilizado en los ataques no tenía conexiones con ninguna otra herramienta de piratería conocida. La investigación que Kaspersky publicó hoy finalmente vincula al grupo con actividades pasadas y proporciona un contexto preliminar para comprender las posibles motivaciones de los atacantes.
Al agregar la investigación de Malwarebytes a lo que habían encontrado de forma independiente, los investigadores de Kaspersky revisaron los datos históricos de telemetría para buscar conexiones. Eventualmente, descubrieron que parte de la infraestructura en la nube y el malware que estaba usando el grupo tenían similitudes con las campañas de espionaje en Ucrania que la empresa de seguridad ESET identificó en 2016, así como con las campañas que la firma CyberX descubrió en 2017.
“Malwarebytes averiguó más sobre la etapa inicial de infección y luego sobre el instalador” utilizado en algunos de los ataques del grupo desde 2020, dice Georgy Kucherin, investigador de malware de Kaspersky. “Después de publicar nuestro informe sobre el malware, decidimos ver datos históricos sobre campañas similares que tienen objetivos similares y que han ocurrido en el pasado. Así es como descubrimos las dos campañas similares de ESET y CyberX, y concluimos con una confianza media a alta de que las campañas están vinculadas y es probable que todas sean ejecutadas por el mismo actor”.
Las diferentes actividades a lo largo del tiempo tienen una victimología similar, lo que significa que el grupo se centró en los mismos tipos de objetivos, incluidos los funcionarios que trabajan para las facciones prorrusas dentro de Ucrania y los funcionarios, políticos e instituciones del gobierno ucraniano. Kucherin también señala que él y sus colegas encontraron similitudes y múltiples superposiciones en el código de los complementos utilizados por el malware del grupo. Algunos códigos incluso parecían copiados y pegados de una campaña a la siguiente. Y los investigadores observaron un uso similar del almacenamiento en la nube y formatos de archivo característicos en los archivos que el grupo exportó a sus servidores.
La investigación de Malwarebytes publicada la semana pasada documentó cinco campañas desde 2020 por parte del grupo de piratería, incluida una dirigida a un miembro del ejército de Ucrania que trabaja en la infraestructura crítica de Ucrania. Otra campaña se centró en los funcionarios electorales prorrusos en el este de Ucrania, un asesor de la Comisión Electoral Central de Rusia y uno que trabaja en el transporte en la región.
En 2016, ESET escribió sobre la actividad que denominó «Operación Groundbait»: «El punto principal que distingue a la Operación Groundbait de los otros ataques es que se ha centrado principalmente en separatistas antigubernamentales en las autoproclamadas Repúblicas Populares de Donetsk y Luhansk. . Si bien los atacantes parecen estar más interesados en los separatistas y los gobiernos autoproclamados en las zonas de guerra del este de Ucrania, también ha habido una gran cantidad de otros objetivos, incluidos, entre otros, funcionarios del gobierno, políticos y periodistas de Ucrania”.