13 de junio de 2024Sala de redacción Inteligencia sobre amenazas/ataque cibernético Los actores de amenazas con vínculos con Pakistán han estado vinculados a una campaña de malware de larga duración denominada Operación Fuerza Celestial desde al menos 2018. La actividad, aún en curso, implica el uso de un malware para Android llamado GravityRAT y un cargador de malware basado en Windows con nombre en código HeavyLift, según Cisco Talos, que se administran mediante otra herramienta independiente denominada GravityAdmin. La ciberseguridad atribuyó la intrusión a un adversario al que rastrea bajo el apodo de Cosmic Leopard (también conocido como SpaceCobra), que, según dijo, muestra cierto nivel de superposición táctica con Transparent Tribe. «La Operación Fuerza Celestial ha estado activa desde al menos 2018 y continúa operando hoy, utilizando cada vez más un conjunto de malware en expansión y evolución, lo que indica que la operación probablemente ha tenido un alto grado de éxito apuntando a usuarios en el subcontinente indio», dijo el investigador de seguridad Asheer Malhotra. y Vitor Ventura dijo en un informe técnico compartido con The Hacker News. GravityRAT salió a la luz por primera vez en 2018 como un malware de Windows dirigido a entidades indias a través de correos electrónicos de phishing, y se jactaba de un conjunto de funciones en constante evolución para recopilar información confidencial de hosts comprometidos. Desde entonces, el malware ha sido adaptado para funcionar en los sistemas operativos Android y macOS, convirtiéndolo en una herramienta multiplataforma. Los hallazgos posteriores de Meta y ESET el año pasado descubrieron el uso continuo de la versión de Android de GravityRAT para atacar al personal militar en la India y entre la Fuerza Aérea de Pakistán, haciéndola pasar por aplicaciones de almacenamiento, entretenimiento y chat en la nube. Los hallazgos de Cisco Talos reúnen todas estas actividades dispares pero relacionadas bajo un paraguas común, impulsado por evidencia que apunta al uso de GravityAdmin por parte del actor de amenazas para orquestar estos ataques. Se ha observado predominantemente que Cosmic Leopard emplea phishing e ingeniería social para generar confianza con posibles objetivos, antes de enviarles un enlace a un sitio malicioso que les indica que descarguen un programa aparentemente inofensivo que elimina GravityRAT o HeavyLift dependiendo del sistema operativo utilizado. Se dice que GravityRAT se puso en uso ya en 2016. GravityAdmin, por otro lado, es un binario utilizado para controlar sistemas infectados desde al menos agosto de 2021 estableciendo conexiones con GravityRAT y los servidores de comando y control (C2) de HeavyLift. . «GravityAdmin consta de múltiples interfaces de usuario (UI) incorporadas que corresponden a campañas específicas, con nombres en código, operadas por operadores maliciosos», señalaron los investigadores. «Por ejemplo, ‘FOXTROT’, ‘CLOUDINFINITY’ y ‘CHATICO’ son nombres dados a todas las infecciones GravityRAT basadas en Android, mientras que ‘CRAFTWITHME’, ‘SEXYBER’ y ‘CVSCOUT’ son nombres para ataques que implementan HeavyLift». El componente recientemente descubierto del arsenal del actor de amenazas es HeavyLift, una familia de cargadores de malware basados ​​en Electron distribuidos a través de instaladores maliciosos dirigidos al sistema operativo Windows. También tiene similitudes con las versiones Electron de GravityRAT documentadas previamente por Kaspersky en 2020. El malware, una vez lanzado, es capaz de recopilar y exportar metadatos del sistema a un servidor C2 codificado, y luego sondea periódicamente el servidor para detectar nuevas cargas útiles que se ejecutarán. en el sistema. Es más, también está diseñado para realizar funciones similares en macOS. «Esta operación de varios años apuntó continuamente a entidades e individuos indios que probablemente pertenecían a espacios de defensa, gobierno y tecnología relacionados», dijeron los investigadores. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.