Un actor de amenazas con vínculos potenciales con una empresa de ciberseguridad india no ha sido más que notablemente persistente en sus ataques contra organizaciones militares con sede en el sur de Asia, incluidos Bangladesh, Nepal y Sri Lanka, desde al menos septiembre de 2020 mediante el despliegue de diferentes variantes de su malware personalizado. marco de referencia.
La firma eslovaca de ciberseguridad ESET atribuyó el ataque altamente dirigido a un grupo de hackers conocido como Equipo Donot. «Donot Team ha estado apuntando constantemente a las mismas entidades con oleadas de correos electrónicos de phishing selectivo con archivos adjuntos maliciosos cada dos o cuatro meses», los investigadores Facundo Muñoz y Matías Porolli. dicho.
Operando desde al menos 2016, Donot Team (también conocido como APT-C-35 y SectorE02) se ha relacionado con una serie de intrusiones dirigidas principalmente a embajadas, gobiernos y entidades militares en Bangladesh, Sri Lanka, Pakistán y Nepal con Windows y Malware de Android.
En octubre de 2021, Amnistía Internacional desenterró pruebas que vinculaban la infraestructura de ataque del grupo con una empresa india de ciberseguridad llamada Innefu Labs, lo que generó sospechas de que el actor de amenazas podría estar vendiendo el software espía u ofreciendo un servicio de hackers a sueldo a los gobiernos de la región.
Si bien no es raro que los grupos de APT vuelvan a atacar una red previamente comprometida mediante la implementación de puertas traseras más sigilosas para cubrir sus huellas, Donot Team intenta una táctica diferente al implementar múltiples variantes del malware que ya tiene en su arsenal.
Entregado a través de documentos armados de Microsoft Office, el llamado marco de malware yty es una cadena de descargadores intermediarios que culmina en la ejecución de una puerta trasera, que se encarga de recuperar componentes adicionales capaces de recolectar archivos, registrar pulsaciones de teclas y capturas de pantalla, y desplegar shells inversos. para acceso remoto.
ESET denominó las nuevas variantes de yty, DarkMusical y Gedit, con datos de telemetría que apuntan a ataques de una tercera variante llamada Jaca de marzo a julio de 2021. Se dice que la primera ola de ataques con DarkMusical ocurrió en junio de 2021, mientras que las campañas relacionadas con Gedit se observaron ya en septiembre de 2020, solo para acelerar el ritmo un año después.
Además, el cuarto conjunto de ataques que ocurrió entre febrero y marzo de 2021 contra organizaciones militares en Bangladesh y Sri Lanka aprovechó una versión modificada de Gedit con nombre en código Henos.
«Donot Team compensa su baja sofisticación con tenacidad», concluyeron los investigadores. «Esperamos que continúe avanzando a pesar de sus muchos contratiempos. Solo el tiempo dirá si el grupo evoluciona sus TTP y malware actuales».
