Careto, un grupo APT conocido por sus ataques sigilosos a organizaciones gubernamentales, diplomáticas, energéticas y de investigación, había estado inactivo desde 2013. Sin embargo, un informe reciente de Kaspersky revela que el grupo ha vuelto con dos nuevas campañas maliciosas que apuntan a organizaciones en América Latina y África Central.
La reaparición de Careto sirve como un claro recordatorio de la constante evolución del panorama de las ciberamenazas y la necesidad de que las organizaciones implementen medidas de seguridad robustas para protegerse contra ataques tan sofisticados.
Las campañas de Careto utilizaron un vector de infección inicial comprometiendo el servidor de correo electrónico de la víctima, que ejecutaba el software MDaemon. Un backdoor independiente instalado en este servidor le otorgó al atacante control total de la red. Para propagarse internamente, el grupo explotó una vulnerabilidad no identificada en una solución de seguridad, lo que les permitió distribuir implantes maliciosos en múltiples dispositivos.
Este malware multimodal incluye funciones como grabación de micrófonos y robo de archivos, con el objetivo de recopilar información del sistema, nombres de usuario, contraseñas, rutas de directorios locales y más. Los operadores mostraron un interés particular en documentos confidenciales de la organización, cookies, historiales de formularios y datos de inicio de sesión de navegadores como Edge, Chrome, Firefox y Opera, así como cookies de apps de mensajería como Threema, WeChat y WhatsApp.
Según Kaspersky, las víctimas objetivo de los implantes de Careto en este último ataque pertenecen a una organización ubicada en América Latina, la cual ya había sido comprometida en ataques anteriores en 2022, 2019 y hace 10 años, y una organización en África Central.
“A lo largo de los años, Careto ha ido desarrollando malware que demuestra un nivel de complejidad notablemente alto. Los implantes recién descubiertos son estructuras multimodales, con tácticas y técnicas de implementación únicas y sofisticadas. Su presencia indica la naturaleza avanzada de las operaciones de Careto. Seguiremos vigilando de cerca las actividades de este actor de amenazas, ya que esperamos que el malware descubierto se utilice en futuros ataques llevados a cabo por el grupo Careto«, afirma Georgy Kucherin, investigador de seguridad del GReAT de Kaspersky.
- Proporcionar al equipo SOC acceso a la inteligencia sobre amenazas (TI) más reciente. El Portal de Inteligencia sobre Amenazas de Kaspersky es un punto de acceso único para el departamento de TI de la empresa, que proporciona datos y conocimientos sobre ciberataques recopilados por Kaspersky a lo largo de más de 20 años.
- Capacitar al equipo de ciberseguridad para hacer frente a las últimas amenazas dirigidas con la formación online de Kaspersky, desarrollada por expertos de GReAT.
- Para la detección, investigación y reparación oportunas de incidentes en puntos finales, es importante usar soluciones EDR como Kaspersky NEXT.
- Además de adoptar la protección esencial de endpoints, se puede utilizar una solución de seguridad a nivel empresarial que detecte amenazas avanzadas a nivel de red en una fase temprana, como Kaspersky Anti Targeted Attack Platform.
Los analistas de Kaspersky se encuentran en la primera línea de batalla contra las ciberamenazas más sofisticadas del mundo. Constantemente descubren nuevas herramientas, técnicas y campañas empleadas por grupos de Amenazas Persistentes Avanzadas (APT) en sus ataques sigilosos.
Para hacer frente a esta titánica tarea, los expertos de Kaspersky monitorean más de 900 operaciones y grupos, de los cuales un 90% están vinculados a actividades de espionaje. Esta vigilancia incansable les permite identificar y analizar las últimas amenazas, como la reciente campaña de APT Careto, detallada en su último Informe de Tendencias APT Q1.
¿Quieres saber más sobre cómo Kaspersky combate las ciberamenazas avanzadas? Visita Securelist, un recurso invaluable para profesionales de la seguridad que buscan estar a la vanguardia de la lucha contra el cibercrimen.