Quint\u00edn<\/a>que es investigador principal de seguridad en el grupo de derechos digitales Electronic Frontier Foundation, dijo a TechCrunch.<\/p>\nQuintin r\u00e1pidamente se dio cuenta de que si pod\u00eda registrar el dominio y tomar el control de \u00e9l (un mecanismo llamado sumidero en la jerga de ciberseguridad), podr\u00eda obtener una vista en tiempo real de las acciones de los piratas inform\u00e1ticos y, lo que es m\u00e1s importante, sus objetivos.<\/p>\n
Dijo que hizo el descubrimiento al final del d\u00eda, pero que inmediatamente comenz\u00f3 a \u00abmolestar\u00bb a los abogados de la EFF para obtener permiso para registrar el dominio y socavarlo. Al d\u00eda siguiente, Quintin obtuvo luz verde y se infiltr\u00f3 efectivamente en la operaci\u00f3n de pirater\u00eda de Dark Caracal.<\/p>\n
Al momento de escribir este art\u00edculo, todav\u00eda est\u00e1 monitoreando sigilosamente las actividades de los piratas inform\u00e1ticos. Y por lo que Quintin puede decir, los piratas inform\u00e1ticos a\u00fan no se han dado cuenta de eso.<\/p>\n
\u201cPens\u00e9 que tal vez obtendr\u00eda un par de d\u00edas de informaci\u00f3n para una semana o dos como m\u00e1ximo. Nunca pens\u00e9 que obtendr\u00eda varios meses de informaci\u00f3n\u201d, dijo.<\/p>\n
Gracias al sumidero, Quintin descubri\u00f3 que los piratas inform\u00e1ticos han apuntado a m\u00e1s de 700 computadoras desde marzo del a\u00f1o pasado, principalmente en Rep\u00fablica Dominicana y Venezuela.<\/p>\n
El dominio que tom\u00f3 Quintin no era el servidor principal de comando y control, era uno de los tres, pero a\u00fan ten\u00eda un objetivo importante: descargar funcionalidad adicional para el malware, llamada Bandook. Eso, sin embargo, signific\u00f3 que Quintin no obtuvo informaci\u00f3n granular sobre los objetivos y sus identidades, aparte de las direcciones IP.<\/p>\n
Adem\u00e1s, cuando decidieron tomar el control del dominio de Dark Caracal, Quintin y sus colegas decidieron que no quer\u00edan recopilar demasiada informaci\u00f3n personal.<\/p>\n
\u201cQuer\u00edamos asegurarnos de no violar m\u00e1s la privacidad de las personas que han sido infectadas\u201d, dijo.<\/p>\n
Con ese objetivo en mente, tomaron la peculiar decisi\u00f3n de poner una pol\u00edtica de privacidad en el sitio web del sumidero, que dice que la EFF \u00abhar\u00e1 todo lo posible para anonimizar cualquier dato recopilado por SINKHOLE antes de publicar o compartir o dentro de un cierto per\u00edodo de tiempo\u00bb. entre otras pr\u00e1cticas destinadas a proteger a las v\u00edctimas de la campa\u00f1a de pirater\u00eda.<\/p>\n
La EFF ha estado rastreando a Dark Caracal desde 2015. En 2020, Quintin y la directora de ciberseguridad de la EFF, Eva Galperin, publicaron un informe sobre una campa\u00f1a de pirater\u00eda inform\u00e1tica centrada en objetivos libaneses. Los investigadores de EFF concluyeron en ese momento que la campa\u00f1a de pirater\u00eda fue a instancias del gobierno liban\u00e9s y la vincularon a una campa\u00f1a de 2016 en Kazajst\u00e1n.<\/p>\n
El hecho de que a lo largo de los a\u00f1os el grupo haya estado apuntando a diferentes v\u00edctimas en diferentes pa\u00edses hizo que los investigadores de EFF concluyeran que Dark Caracal no es un grupo tradicional de pirater\u00eda del gobierno, sino m\u00e1s bien un grupo que los gobiernos y quiz\u00e1s otras organizaciones contratan para piratear a quien sea que est\u00e9n interesados. .<\/p>\n
\u201cCreemos que son un grupo de mercenarios cibern\u00e9ticos, parecen haber trabajado para varios estados, incluidos L\u00edbano y Kazajst\u00e1n. Y ahora parece que est\u00e1n haciendo alg\u00fan trabajo en Am\u00e9rica Latina\u201d, dijo Quintin. (Quintin y sus colegas no pudieron determinar para qui\u00e9n est\u00e1 trabajando Dark Caracal aqu\u00ed).<\/p>\n
Los investigadores de la EFF creen que Dark Caracal es el mismo grupo detr\u00e1s de una campa\u00f1a reportada por la firma de seguridad cibern\u00e9tica ESET en 2021, que apuntaba a computadoras principalmente en Venezuela. Matias Porolli, un investigador de ESET que trabaj\u00f3 en ese informe, le dijo a TechCrunch que investig\u00f3 la campa\u00f1a actual cuando Quintin le pidi\u00f3 ayuda. Porolli dijo que concluy\u00f3 que esta campa\u00f1a reciente est\u00e1 siendo realizada por el mismo grupo que ESET rastre\u00f3 en 2021.<\/p>\n
Sin embargo, Porolli dijo que no tienen suficientes datos para concluir que la campa\u00f1a de 2021 fue efectivamente realizada por Dark Caracal. Una de las migas de pan que apunta a Dark Caracal es el uso de un spyware, o troyano de acceso remoto, com\u00fanmente conocido como RAT, llamado Bandook.<\/p>\n
\u201cEs el mismo malware, Bandook, pero podr\u00eda ser utilizado por diferentes grupos\u201d, dijo Porolli.<\/p>\n
Cooper, sin embargo, dijo que cree que el uso del mismo malware es un v\u00ednculo lo suficientemente fuerte, dado que Bandook no es de c\u00f3digo abierto ni parece estar disponible abiertamente. Adem\u00e1s, los piratas inform\u00e1ticos han mejorado lentamente Bandook a lo largo de los a\u00f1os, agregando diferentes funciones al software esp\u00eda, lo que sugiere que son el mismo grupo que mejora sus propias herramientas.<\/p>\n
Y sus herramientas y t\u00e9cnicas est\u00e1n mejorando lentamente.<\/p>\n
\u201cNo estamos tratando exactamente con los mejores del mundo aqu\u00ed. Pero independientemente, todav\u00eda hacen el trabajo. Claramente pueden llevar a cabo grandes campa\u00f1as e infectar muchas computadoras\u201d, dijo Quintin. \u201cCreo que es importante prestar atenci\u00f3n a estos m\u00e9dicos de bajo nivel, porque est\u00e1n trabajando mucho. Y creo que est\u00e1n trabajando tanto como los tipos m\u00e1s conocidos como NSO Group, y creo que son igual de peligrosos de una manera diferente\u201d.<\/p>\n
La pelota ahora est\u00e1 en la cancha de Dark Caracal. \u00bfSe dar\u00e1n cuenta de que han sido infiltrados ahora que las acciones de Quintin son p\u00fablicas?<\/p>\n
\u201cSi yo fuera ellos, estar\u00eda leyendo el blog de EFF buscando mi nombre\u201d, dijo Quintin riendo.<\/p>\n\n
\u00bfTienes m\u00e1s informaci\u00f3n sobre Dark Caracal? \u00bfO tienes informaci\u00f3n sobre otros grupos de hackers mercenarios? Nos encantar\u00eda saber de usted. Puede ponerse en contacto con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a trav\u00e9s de Wickr, Telegram and Wire @lorenzofb, o enviar un correo electr\u00f3nico a lorenzo@techcrunch.com. Tambi\u00e9n puede comunicarse con TechCrunch a trav\u00e9s de SecureDrop.<\/em><\/p>\n<\/p><\/div>\n