Por primera vez en el mundo, un grupo de piratas informáticos patrocinado por el Estado ruso ha utilizado vulnerabilidades de software «idénticas o sorprendentemente similares» a las utilizadas anteriormente por NSO Group e Intellexa, dos infames proveedores de software espía comercial. En un nuevo informe, Google Threat Analysis Group (TAG) compartió información sobre dos ataques de abrevadero dirigidos a sitios web del gobierno de Mongolia entre noviembre de 2023 y julio de 2024. Un abrevadero es un sitio web o plataforma frecuentado por un grupo objetivo específico que los piratas informáticos utilizan para distribuir malware o explotar vulnerabilidades. Google evaluó «con moderada confianza» que las campañas fueron realizadas por el grupo patrocinado por Rusia APT29. Ataques de abrevadero dirigidos a Safari y Google Chrome El hacker comprometió el sitio cabinet.gov[.]Sitio web de mn a partir de noviembre de 2023 y mfa.gov[.]El primero de ellos fue en febrero de 2024 y el segundo en julio de 2024. Las campañas aprovecharon vulnerabilidades en el navegador Safari de Apple y en Google Chrome en Android. La primera lanzó un exploit WebKit de iOS (a través de CVE-2023-41993) para robar cookies de cuentas de usuario almacenadas en Safari. Esta campaña afectó a versiones de iOS anteriores a la 16.6.1. La segunda lanzó una cadena de exploits de Chrome (a través de CVE-2024-5274 y CVE-2024-4671) contra usuarios de Android que ejecutaban versiones de m121 a m123. Aunque estas vulnerabilidades ya se habían solucionado en el momento en que se produjeron las campañas, Google señaló que seguirían siendo efectivas contra dispositivos sin parches. Exploits utilizados anteriormente por los proveedores de spyware Cada una de las tres vulnerabilidades había sido explotada anteriormente por NSO Group, una empresa israelí que desarrolla el software espía Pegasus, o Intellexa, una empresa con sede en Grecia que forma parte de un consorcio privado de proveedores de soluciones de vigilancia y el fabricante del software espía Predator. Este es uno de los primeros casos de un grupo de piratas informáticos patrocinado por un estado que reutiliza las técnicas de intrusión de los proveedores de software espía comercial. «Si bien no estamos seguros de cómo los presuntos actores de APT29 adquirieron estos exploits, nuestra investigación subraya hasta qué punto los exploits desarrollados primero por la industria de la vigilancia comercial se propagan a actores de amenazas peligrosos», afirma el informe. El equipo Google TAG notificó a Apple, a las unidades Android y Google Chrome de Alphabet y al equipo de respuesta a emergencias informáticas (CERT) de Mongolia sobre las campañas en el momento del descubrimiento. Leer más: Cómo mitigar los riesgos del software espía y proteger sus secretos comerciales