Operación “Spalax” ataca al gobierno e industrias de Colombia

Se han descubierto una serie de ataques dirigidos al gobierno colombiano y las industrias privadas de energía y metalurgia del país. La operación, que recibió el nombre de Operación Spalax, lleva un año en efecto y todavía no ha sido contenida por completo.

Investigadores de seguridad de ESET advirtieron sobre la amenaza, que se centra en el uso de troyanos de acceso remoto para realizar ataques que, en su mayoría son de ciberespionaje. Para propagar la amenaza, se emplean correos phishing que engañan a sus víctimas con temas de urgencia como solicitudes para que se tomen pruebas de COVID, citaciones para asistir a audiencias de un tribunal, multas falsas o amenazas de congelar sus cuentas bancarias.

Con la presión de estos temas urge a que abran un PDF adjunto. Dentro de este archivo se encuentra un archivo RAR, que el usuario debe abrir y ejecutar de forma manual para que se descargue el malware. Es decir, que para ser víctima del ataque se requiere interacción del usuario para abrir el correo, abrir el archivo adjunto, pulsar en el enlace del PDF y abrir el ejecutable que se encuentra en el RAR.

Los troyanos de acceso remoto (RAT) que se instalan son tres: Remcos, njRAT y AsyncRAT. Tienen la capacidad de tomar el control del equipo infectado, pero también tienen funciones para espiar a su víctima: registran la actividad del teclado, toman capturas de pantalla, extraen datos y documentos privados y descargan malware adicional.

Los investigadores destacaron la gran infraestructura de red para comando y control con la que cuenta la amenaza. “ESET observó al menos 24 direcciones IP diferentes en uso en la segunda mitad de 2020. Estos probablemente son dispositivos comprometidos que actúan como proxies para sus servidores C&C”, explicaron los expertos. “Esto, combinado con el uso de servicios DNS dinámicos, significa que su infraestructura nunca permanece quieta. Hemos visto al menos 70 nombres de dominio activos en este período y registran nuevos de forma regular”.

No se ha identificado a los responsables del ataque, pero los investigadores encontraron similitudes con otras amenazas propagadas en Colombia, en particular con una APT que atacaba al país desde 2018. La similitud se encuentra en los correos phishing, que utilizan temáticas similares y se hacen pasar por las mismas entidades que las de un ataque de febrero de 2019. Pero hay diferencias en los archivos adjuntos que se usan en los correos, los programas que se instalan y la infraestructura C2.

“Los ataques de malware dirigidos contra entidades colombianas se han incrementado desde las campañas descritas el año pasado. El panorama ha cambiado y pasó de una campaña que tenía un puñado de servidores C&C y nombres de dominio a una campaña con una infraestructura muy grande y que cambia rápidamente con cientos de nombres de dominio utilizados desde 2019”, indicó ESET en su informe sobre la amenaza. “Es de esperar que estos ataques continúen en la región durante mucho tiempo, por lo que seguiremos monitoreando estas actividades”.

Fuentes

Experts Uncover Malware Attacks Against Colombian Government and Companies The Hacker News
ESET discovers Operation Spalax: Colombian government and industry sector under targeted attack Security Magazine
Operación Spalax: Ataques de malware dirigidos en Colombia We Live Security