Un vistazo al otro lado de “La Máscara”

El mundo de los APT es colorido. En 2012, descubrimos Flame, una operación masiva de ciberespionaje contra ordenadores en el Oriente Medio. Nuestra investigación revela una conexión con la famosa ciberarma Stuxnet, diseñada para sabotear el programa atómico iraní.

A principios de 2013 publicábamos nuestra investigación sobre RedOctober, una operación de ciberespionaje contra instituciones diplomáticas. En junio de 2013, publicamos nuestra investigación sobre NetTraveler, y en septiembre, nuestra investigación sobre los ataques Kimsuky.
Nuestros análisis de todas estas operaciones APT indicaban un singular empleo de idiomas, lo que nos dio una pista sobre los responsables de estas distintas operaciones. Si los comentarios en el servidor C&C de Flame estaban en inglés, los artefactos en RedOctober apuntaban a hablantes rusos, y NetTraveler a chinos. Por último, Kimsuky revelaba autores coreanos, a los que vinculamos con Corea del Norte.En estos últimos meses nos hemos concentrado en el análisis de otra sofisticada operación de ciberespionaje que está vigente desde al menos 2007 y que se ha cobrado víctimas en al menos 27 países. Bautizamos esta operación con el nombre de “The Mask” (La Máscara) por razones que posteriormente explicaremos.

“La Máscara”, que utiliza sofisticados exploits, es un malware extremadamente complejo que incluye un bootkit y un rootkit, con versiones para Mac y Linux, y un ataque diseñado especialmente contra los productos de Kaspersky. Estas características lo colocan por encima de Duqu en cuanto a su grado de sofisticación, y lo convierten en una de las amenazas más avanzadas del momento.

Pero lo más interesante es que sus autores parecen hablar un idioma que es muy poco frecuente entre los ataques APT.

Presentaremos más detalles sobre el APT “The Mask” la próxima semana en ocasión del Kaspersky Security Analyst Summit 2014 (en Twitter).