“¡NetTraveler se está ejecutando!” – Los ataques APT de RedStar comprometen a víctimas de alto perfil

Los últimos años hemos estado siguiendo una operación de ciberespionaje que ha logrado comprometer a más de 350 víctimas de alto perfil en 40 países. La herramienta principal de los atacantes es NetTraveler, un programa malicioso que se usa para vigilar los equipos sin ser detectado.

El nombre “NetTraveler” proviene de una cadena de caracteres interna que se encuentra en las versiones antiguas del programa: “¡NetTraveler se está ejecutando!” Los responsables de desatar Amenazas Persistentes y Avanzadas (APT, por sus siglas en inglés) utilizan este malware para espiar a sus víctimas y recopilar los datos básicos de su interés. Los ejemplares más antiguos que se conocen son de 2005, aunque algunas referencias indican que ya había actividad en 2004. Según lo que descubrimos, la mayor cantidad de ejemplares se creó entre 2010 y 2013.

El icono del constructor de NetTraveler

Entre los blancos de NetTraveler (también conocido como “Travnet” o “Netfile”) se encuentran activistas tibetanos y uigures, compañías petroleras, centros e institutos de investigación científica, compañías privadas, gobiernos e instituciones gubernamentales, embajadas y contratistas del ejército:

Mapa de víctimas de NetTraveler

El siguiente gráfico muestra los perfiles de sus víctimas según su industria:

Nota: el mapa no incluye a las víctimas que no se han podido identificar.

Principales conclusiones de los ataques de NetTraveler:

• Mongolia tiene el mayor número de infecciones, seguido por India y Rusia. En total, se detectaron infecciones en 40 países, incluyendo Kazajistán, Kirguistán, China, Tayikistán, Corea del Sur, España, Alemania, Estados Unidos, Canadá, Reino Unido, Chile, Marruecos, Grecia, Bélgica, Austria, Ucrania, Lituania, Bielorrusia, Australia, Hong Kong, Japón, China, Irán, Turquía, Pakistán, Tailandia, Qatar y Jordania.
• El grupo ha infectado a usuarios de muchas industrias, entre ellas instituciones gubernamentales, embajadas, compañías petroleras, institutos de investigación, contratistas del ejército y activistas.
• Últimamente al grupo de NetTraveler le interesa recolectar información sobre exploración espacial, nanotecnología, producción de energía, energía nuclear, tecnología láser, medicina y comunicaciones.
• En nuestra investigación, identificamos a seis víctimas que se habían infectado con netTraveler y Red October.
• Los productos de Kaspersky Lab detectan y neutralizan los programas maliciosos y las variantes que emplean las herramientas NetTraveler, como Trojan-Spy.Win32.TravNet y Downloader.Win32.NetTraveler. Los productos de Kaspersky Lab detectan tres exploits de Microsoft que se utilizan en los ataques dirigidos, entre ellos: Exploit.MSWord.CVE-2010-3333 y Exploit.Win32.CVE-2012-0158.
• Según la información que recabamos, creemos que el grupo está compuesto por unos 50 individuos, la mayoría de los cuales habla chino como lengua materna y tiene conocimientos técnicos del idioma inglés. NetTraveler está diseñado para robar datos sensibles, registrar lo que se escribe en el teclado y recopilar los listados del sistema de archivos y documentos Office y PDF.

Para más información, lee nuestro informe completo: “TheNetTravelerAttacks, Part 1” (PDF) .

Contenido del documento ‘TheNetTravelerAttacks – Part 1′:

• Análisis del ataque
• Infraestructura C&C
• Estadísticas
• Detección
• Conclusiones