Una nueva serie de ataques dirigidos a sistemas aislados de organizaciones gubernamentales se ha atribuido al grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) GoldenJackal. La campaña de ciberespionaje, que se desarrolló entre mayo de 2022 y marzo de 2024 y fue descubierta por investigadores de ESET, utilizó una variedad de conjuntos de herramientas personalizados diseñados para infiltrarse en sistemas aislados, particularmente aquellos sin acceso directo a Internet. Contexto histórico de las actividades de GoldenJackal ESET ha rastreado las actividades de GoldenJackal al menos hasta 2019, cuando el grupo atacó una embajada del sur de Asia en Bielorrusia. Durante esta campaña, GoldenJackal empleó un conjunto de herramientas personalizado dirigido específicamente a sistemas con espacios de aire, lo que marcó uno de los primeros casos conocidos de tal ataque. Sus herramientas se han documentado públicamente por primera vez. Los componentes clave del ataque incluyeron: GoldenDealer – que facilitó la transferencia de archivos maliciosos a través de unidades USB GoldenHowl – una puerta trasera modular con capacidades tales como recopilación y exfiltración de datos GoldenRobo – una herramienta utilizada para recopilar y exfiltrar archivos de sistemas comprometidos Ataques recientes y conjuntos de herramientas mejorados La investigación de ESET destacó la mencionada segunda ola de ataques a una organización gubernamental de la Unión Europea. Para estos incidentes más recientes, GoldenJackal actualizó su conjunto de herramientas a un diseño más modular. Esta nueva configuración les proporcionó capacidades mejoradas para persistir en redes, recopilar y distribuir archivos y administrar configuraciones en sistemas específicos. «Se abusó de algunos hosts para extraer archivos, otros se utilizaron como servidores locales para recibir y distribuir archivos preparados o archivos de configuración, y otros se consideraron interesantes para la recopilación de archivos, con fines de espionaje», explicó ESET. Perfil objetivo y orígenes potenciales GoldenJackal, activo desde al menos 2019, se ha centrado principalmente en entidades gubernamentales y diplomáticas en Europa, el sur de Asia y Medio Oriente. Se cree que las operaciones del grupo tienen como objetivo robar información confidencial, particularmente de máquinas de alto perfil con espacios de aire. Si bien ESET vinculó las herramientas a GoldenJackal, el origen del grupo aún no está claro. Sin embargo, algunos indicadores sugieren una posible conexión rusa, dadas las similitudes con el malware previamente identificado y atribuido a grupos de habla rusa. “En el malware GoldenHowl, el protocolo C&C se conoce como transport_http, que es una expresión típicamente utilizada por Turla […] y Gorila Bigotudo. Esto puede indicar que los desarrolladores de GoldenHowl son hablantes de ruso”, escribió ESET. Independientemente, el uso por parte de GoldenJackal de métodos de infiltración basados ​​en USB subraya los peligros que plantean estos ataques, potencialmente capaces de vulnerar incluso los sistemas más seguros. Lea más sobre ataques basados ​​en USB: La inteligencia artificial y los USB impulsan un aumento del 8 % en los ciberataques