Los expertos de ESET relacionaron una serie de ataques financieros y actividades de espionaje similares a las Amenazas Persistentes Avanzadas (APT) con una única entidad cibercriminal, aunque antes se pensó que eran llevadas a cabo por dos actores distintos. Un grupo de ciberdelincuentes bautizado como “Asylum Ambuscade” ha sido vinculado tanto a la ciberdelincuencia financiera como al espionaje político de gobiernos.
Aparentemente el grupo ha estado activo desde el 2020, pero no se reveló públicamente hasta que Proofpoint informó sobre un intento de APT en marzo de 2022 dirigido a empleados gubernamentales europeos, que estaban relacionados con la ayuda a refugiados ucranianos previamente a la invasión rusa. En esa campaña, los ciberatacantes usaron spear-phishing para sustraer información confidencial y credenciales de correo web en portales oficiales del gobierno.
Se han observado una serie de ataques con motivación financiera, dirigidos a clientes bancarios y comerciantes de criptomonedas desde enero de 2022, según los investigadores de ESET. Durante este período, la compañía ha registrado más de 4.500 víctimas globales relacionadas con estas campañas, principalmente en Norteamérica, pero también en Asia, África, Europa y Sudamérica.
Sobre sus campañas
Los investigadores de ESET descubrieron que la cadena de compromiso del crimeware es muy similar a la de las campañas de ciberespionaje detalladas anteriormente, hasta el uso de variantes de malware personalizadas llamadas SunSeed y AHKBOT.
«Las cadenas de compromiso en la mayoría de las campañas son muy similares», de acuerdo con el análisis de ESET. «Específicamente, SunSeed y AHKBOT se usaron extensamente tanto en cibercrimen como en ciberespionaje; no creemos que SunSeed y AHKBOT sean productos empleados por varios actores, ni que estén a la venta en el mercado negro».
No está claro si el grupo es un equipo de hackers a sueldo, un actor patrocinado por el estado o simplemente oportunistas autodirigidos. En cualquier caso, los investigadores de ESET concluyeron que es bastante inusual sorprender a un grupo de ciberdelincuentes ejecutando operaciones de ciberespionaje, por lo que creen que los investigadores deberían seguir de cerca las actividades de Asylum Ambuscade.
Fuente: Los ciberatacantes de «Asylum Ambuscade» mezclan atracos financieros y ciberespionaje