Un grupo de piratas informáticos previamente desconocido se ha relacionado con ataques dirigidos contra activistas de derechos humanos, defensores de derechos humanos, académicos y abogados en toda la India en un intento de plantar «pruebas digitales incriminatorias».
La firma de ciberseguridad SentinelOne atribuyó las intrusiones a un grupo al que rastrea como «ModificadoElefante”, un escurridizo actor de amenazas que ha estado operativo desde al menos 2012, cuya actividad se alinea claramente con los intereses del estado indio.
«ModifiedElephant opera mediante el uso de troyanos de acceso remoto (RAT) disponibles comercialmente y tiene vínculos potenciales con la industria de la vigilancia comercial», dijeron los investigadores. dicho. «El actor de amenazas utiliza el phishing selectivo con documentos maliciosos para entregar malware, como NetWire, cometaoscuroy registradores de teclas simples».
El objetivo principal de ModifiedElephant es facilitar la vigilancia a largo plazo de las personas objetivo, lo que en última instancia conduce a la entrega de «pruebas» sobre los sistemas comprometidos de las víctimas con el objetivo de incriminar y encarcelar a los oponentes vulnerables.
Incapaz objetivos incluyen personas asociadas con el 2018 Bhima Koregaon violencia en el estado indio de Maharashtra, dijeron en un informe los investigadores de SentinelOne, Tom Hegel y Juan Andrés Guerrero-Saade.
Las cadenas de ataque implican infectar a los objetivos, algunos de ellos varias veces en un solo día, utilizando correos electrónicos de phishing dirigidos a temas relacionados con el activismo, el cambio climático y la política, y que contienen archivos adjuntos de documentos de Microsoft Office maliciosos o enlaces a archivos alojados externamente que están armados con malware capaz de tomar el control de las máquinas víctimas.
«Los correos electrónicos de phishing adoptan muchos enfoques para obtener la apariencia de legitimidad», dijeron los investigadores. «Esto incluye contenido de cuerpo falso con un historial de reenvío que contiene largas listas de destinatarios, listas de destinatarios de correo electrónico originales con muchas cuentas aparentemente falsas o simplemente reenviar su malware varias veces usando nuevos correos electrónicos o documentos de señuelo».
También se distribuye mediante correos electrónicos de phishing un troyano básico no identificado dirigido a Android que permite a los atacantes interceptar y administrar SMS y datos de llamadas, borrar o desbloquear el dispositivo, realizar solicitudes de red y administrar de forma remota los dispositivos infectados. SentinelOne lo caracterizó como un «kit de herramientas de vigilancia móvil de bajo costo ideal».
«Este actor ha operado durante años, evadiendo la atención y detección de la investigación debido a su alcance limitado de operaciones, la naturaleza mundana de sus herramientas y su orientación regional específica», dijeron los investigadores.
