Expertos de Kaspersky revelan una sofisticada campaña de ciberespionaje global, bautizada como DuneQuixote, que inicialmente tenía como objetivo una entidad gubernamental en Medio Oriente. Esta investigación ha destapado más de 30 variantes de dropper de malware, con evidencia de su expansión hacia APAC, Europa y América del Norte.
La intrincada operación, descubierta en febrero de 2024, utiliza droppers disfrazados como archivos de instalación de Total Commander, una herramienta legítima. Lo peculiar es que estos droppers incluyen fragmentos de poemas en español, variando en cada muestra para dificultar su detección. Esta táctica, conocida como “obfuscation”, busca alterar la firma de cada muestra, dificultando su identificación por métodos convencionales.
El malware incrustado en estos droppers descarga cargas adicionales, como la puerta trasera CR4T, que permite a los atacantes obtener acceso a las máquinas de las víctimas. Además, una variante de la puerta trasera utiliza la API de Telegram para comunicaciones C2, aprovechando enlaces públicos de API de Telegram de GoLang.
“Las variaciones del malware muestran la adaptabilidad y el ingenio de los actores de amenazas detrás de esta campaña. Por el momento, hemos descubierto dos implantes de este tipo, pero sospechamos firmemente de la existencia de más”, comenta Sergey Lozhkin, investigador principal de seguridad en el Equipo Global de Investigación y Análisis de Kaspersky.
Kaspersky identificó la primera víctima en Medio Oriente en febrero de 2024, mientras que múltiples envíos del mismo malware a servicios de escaneo de malware semi-públicos ocurrieron a fines de 2023. Se sospecha que los nodos de salida de VPN relacionados con esta campaña están ubicados en varios países, incluidos Corea del Sur, Luxemburgo, Japón, Canadá, los Países Bajos y los Estados Unidos.
Cómo no ser víctima de DuneQuixote
Para evitar ser víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:
- Proporcionar a su equipo de SOC acceso a la inteligencia de amenazas más reciente (TI). El Portal de Inteligencia de Amenazas de Kaspersky es un único punto de acceso para la TI de la empresa, que proporciona datos e información sobre ciberataques recopilados por Kaspersky durante más de 20 años.
- Capacitar a su equipo de ciberseguridad para enfrentar las últimas amenazas dirigidas con la Formación en línea de Kaspersky desarrollada por expertos de GReAT.
- Para la detección, investigación y remediación oportuna de incidentes a nivel de endpoint, implementar soluciones EDR como Kaspersky Endpoint Detection and Response.
- Además de adoptar protección de endpoint esencial, implementar una solución de seguridad corporativa que detecte amenazas avanzadas a nivel de red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.
- Dado que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social, introducir formación en conciencia de seguridad y enseñar habilidades prácticas a su equipo, por ejemplo, a través de Kaspersky Automated Security Awareness Platform.