- Kaspersky ha presentado GoSerpent, una campaña de larga duración contra los sistemas gubernamentales del sudeste asiático que utiliza una puerta trasera, RAT (Stowaway) y una herramienta de exfiltración (TmcLoader).
- Los atacantes mostraron extrema paciencia y esperaron semanas antes de implementar equipos secundarios para evitar la detección y las últimas políticas de retención de registros.
- Atribución incierta, pero se superpone con operaciones pasadas de Tetrisphantom; Se insta a los defensores a revisar los COI compartidos para identificar compromisos
Los investigadores de seguridad Kaspersky descubrieron un malware de cinco años de antigüedad escondido en computadoras gubernamentales en la región del sudeste asiático, recolectando secretos y otra inteligencia operativa.
La empresa analizó una campaña llamada GoSerpent, que consistía en una puerta trasera del mismo nombre, un troyano de acceso remoto (RAT) llamado Stowaway y una herramienta de exfiltración de datos de dos etapas llamada TmcLoader.
Se dijo que la puerta trasera se utilizó por primera vez en 2021, lo que significa que se había ocultado con éxito durante media década. Esto se logró, entre otras cosas, con mucha paciencia y una cuidadosa planificación.
Fantasma de Tetris
“Lo que es diferente de Goserpent es el tiempo de permanencia intencional”, explica Nowshin Shabab, investigador jefe de seguridad de Kaspersky Great.
“Por lo general, los atacantes quieren moverse rápidamente después de establecerse, pero este grupo abandona la puerta trasera inicial y espera. Dejan que el polvo se acumule durante semanas antes de implementar sus herramientas de exfiltración secundarias como TmcLoader. Esa paciencia es un paso computacional diseñado para eludir las políticas estándar de retención de registros, y es difícil para nosotros automatizar las medidas de seguridad. Conecte la infección inicial con el robo de datos final”.
Los investigadores no pudieron atribuir de manera concluyente esta campaña a ningún actor de amenazas en particular, pero dijeron que tenía muchas similitudes con campañas anteriores del actor Tetrisphantom, incluidas tácticas de caza, capacidades tecnológicas y métodos operativos.
Kaspersky analizó Tetrisphantom en 2023, cuando descubrió que el grupo estaba comprometiendo las unidades USB seguras utilizadas para proporcionar cifrado para el almacenamiento seguro de datos. La campaña también se dirigió a agencias gubernamentales en la región de Asia y el Pacífico (APAC), pero, en ese momento, se trataba de un actor de amenaza recién descubierto que no se superponía con otros grupos conocidos.

El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.