MADRID, 18 de enero. (Portal/EP) – El Grupo de Análisis de Amenazas (TAG) de Google ha advertido de un cambio en las acciones de COLDRIVER, un grupo ruso de ciberespionaje, ya que se critican las campañas de ‘phishing’ contra actores de alto nivel de este grupo. Ahora combinan campañas de distribución de “malware” con archivos PDF para llamar la atención.
COLDRIVER, también conocido como UNC4057, Star Blizzard y Callisto, es un grupo de amenazas afiliado al gobierno ruso. Este grupo dirige ataques contra figuras de alto rango, como políticos, periodistas o trabajadores de ONG. En sus campañas de “phishing”, se hacen pasar por expertos en determinados temas, o personas afiliadas de alguna manera a las víctimas, para ganarse la confianza y obtener claves de acceso a las cuentas para robar datos.
Este procedimiento malicioso se ha ampliado a otro tipo de campañas, detectadas por primera vez en noviembre de 2022, que utilizaban cuentas de correo electrónico falsas para difundir ‘malware’ e instalar puertas traseras en el ordenador de la víctima, con el fin de obtener acceso gratuito a sus datos. , como se explica en el blog de Google. Según detalla TAG, esta nueva campaña simula el envío de un artículo de opinión u otro tipo de contenido similar para su publicación.
Se envía en formato pdf inofensivo, que al abrirlo contiene texto cifrado. Entonces, cuando la víctima indica que no puede leer el artículo, la cuenta de correo electrónico falsa proporciona un enlace para descifrarlo. De hecho, muestra un documento de ensueño e instala una puerta trasera en segundo plano, llamada SPICA.
El uso de SPICA parece reciente ya que el equipo de Google comenzó a observarlo en septiembre de 2023, pero no se puede descartar que en realidad fuera parte de la campaña ya en noviembre del año anterior. Tras este descubrimiento, Google agregó los sitios, dominios y archivos identificados en estas campañas a la herramienta ‘Navegación segura’ de Chrome, que ayuda a los usuarios a recibir advertencias sobre malware, extensiones maliciosas, estafas de phishing o sitios en la lista de sitios potencialmente peligrosos de la compañía.
