Nobelium, el actor de amenazas alineado con Rusia, ha estado apuntando continuamente a entidades diplomáticas y organizaciones públicas francesas desde 2021, según la agencia francesa de ciberseguridad ANSSI. En un nuevo aviso, la agencia francesa dijo que el actor de amenazas estuvo involucrado en al menos cinco campañas coordinadas entre 2021 y 2024. Los objetivos incluyeron el Ministerio de Cultura de Francia, el Ministerio de Asuntos Exteriores de Francia, la Agencia Nacional de Cohesión Territorial (ANCT), y varias embajadas francesas en todo el mundo. «ANSSI ha observado un alto nivel de actividades relacionadas con Nobelium en el contexto reciente de tensiones geopolíticas, especialmente en Europa, en relación con la agresión de Rusia contra Ucrania», escribió la agencia. La mayoría de estos ciberataques siguieron las mismas técnicas, tácticas y procedimientos (TTP): el actor de la amenaza utilizó cuentas de correo electrónico legítimas comprometidas pertenecientes al personal diplomático y llevó a cabo campañas de phishing contra las instituciones objetivo. Los operadores intentaron entregar sus propios cargadores privados para ejecutar herramientas públicas de red teaming como Cobalt Strike o Brute Ratel C4 para acceder a la red de la víctima, garantizar la persistencia y exfiltrar información valiosa. «Las actividades de Nobelium contra entidades gubernamentales y diplomáticas, descritas como una campaña llamada ‘Diplomatic Orbiter’, representan una preocupación de seguridad nacional y ponen en peligro los intereses diplomáticos franceses y europeos», añadió ANSSI. La agencia también señaló que Nobelium amplió recientemente su lista de víctimas apuntando a empresas de TI como Microsoft, Hewlett Packard Enterprise (HPE) y TeamCity. ¿Quién está detrás del Nobelium? Nobelium (también conocido como Midnight Blizzard) es un grupo de ciberespionaje altamente dedicado y con buenos recursos que se cree que está afiliado al servicio de inteligencia exterior ruso (SVR). Varios socios, también en EE.UU., consideran que Nobelium está asociado con APT29, al que se atribuyeron tanto el ataque de 2015 contra el Comité Nacional Demócrata Americano como el ataque Sunburst de 2020 contra productos SolarWinds. Sin embargo, basándose en la observación de la evolución de los códigos, tácticas, técnicas y procedimientos de los atacantes, ANSSI prefiere diferenciar tres conjuntos de intrusión diferentes y completos relacionados con SVR: APT29, también conocido como The Dukes, supuestamente activo desde al menos 2008, utilizado hasta 2019 contra varios gobiernos, grupos de expertos, entidades diplomáticas y partidos políticos y, en particular, asociado con el ataque de 2015 contra el Comité Nacional Demócrata Estadounidense Dark Halo, vinculado públicamente al ataque a la cadena de suministro a través de SolarWinds y expuesto en diciembre de 2020 Nobelium, probablemente activo desde en Al menos desde octubre de 2020, Nobelium se ha dirigido a organizaciones públicas y privadas de Europa, África, América del Norte y Asia.