Expertos de Kaspersky revelan una sofisticada campaña de ciberespionaje global, bautizada como DuneQuixote, que inicialmente tenía como objetivo una entidad gubernamental en Medio Oriente. Esta investigación ha destapado más de 30 variantes de dropper de malware, con evidencia de su expansión hacia APAC, Europa y América del Norte.
La intrincada operación, descubierta en febrero de 2024, utiliza droppers disfrazados como archivos de instalación de Total Commander, una herramienta legítima. Lo peculiar es que estos droppers incluyen fragmentos de poemas en español, variando en cada muestra para dificultar su detección. Esta táctica, conocida como “obfuscation”, busca alterar la firma de cada muestra, dificultando su identificación por métodos convencionales.
El malware incrustado en estos droppers descarga cargas adicionales, como la puerta trasera CR4T, que permite a los atacantes obtener acceso a las máquinas de las víctimas. Además, una variante de la puerta trasera utiliza la API de Telegram para comunicaciones C2, aprovechando enlaces públicos de API de Telegram de GoLang.
“Las variaciones del malware muestran la adaptabilidad y el ingenio de los actores de amenazas detrás de esta campaña. Por el momento, hemos descubierto dos implantes de este tipo, pero sospechamos firmemente de la existencia de más”, comenta Sergey Lozhkin, investigador principal de seguridad en el Equipo Global de Investigación y Análisis de Kaspersky.
Kaspersky identificó la primera víctima en Medio Oriente en febrero de 2024, mientras que múltiples envíos del mismo malware a servicios de escaneo de malware semi-públicos ocurrieron a fines de 2023. Se sospecha que los nodos de salida de VPN relacionados con esta campaña están ubicados en varios países, incluidos Corea del Sur, Luxemburgo, Japón, Canadá, los Países Bajos y los Estados Unidos.
Para evitar ser víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:
Contenido GEC