Después de 10 años de inactividad, los ciberdelincuentes apuntan a África y América Latina.
El grupo de ciberespionaje «Careto», también conocido como «The Mask», ha resurgido, reanudando sus actividades después de una década de inactividad. Iniciaron sus operaciones en 2007 y desaparecieron en 2013, después de haber comprometido 380 objetivos únicos en 31 países, incluyendo Estados Unidos, Reino Unido, Francia, Alemania, China y Brasil.
Según los investigadores de Kaspersky Lab, quienes rastrearon las actividades de Careto hace diez años y recientemente volvieron a detectar los ataques de este grupo, los cibercriminales se han reactivado, apuntando a organizaciones en América Latina y África Central.
En su nueva campaña, los hackers intentaron robar documentos confidenciales, datos de autocompletado de formularios, historiales de inicio de sesión y archivos de cookies de los navegadores Chrome, Edge, Firefox y Opera. Los atacantes también apuntaron a los archivos de cookies de aplicaciones de mensajería como WhatsApp, WeChat y Threema.
Georgy Kucherin, investigador de seguridad en Kaspersky Lab, comenta: «Pudimos detectar las últimas campañas de Careto gracias a nuestro conocimiento de sus campañas anteriores y los indicadores de compromiso que descubrimos durante la investigación de esas campañas».
Una característica de los nuevos ataques es el uso por parte de los delincuentes de sus propias técnicas para infiltrarse en las redes de las organizaciones. Obtuvieron acceso inicial a través del servidor de correo electrónico MDaemon, luego implantaron una puerta trasera en el servidor que les permitía controlar la red. Además, utilizaron un controlador relacionado con el escáner antimalware HitmanPro Alert para mantener el acceso.
Como parte del ataque, Careto explotó una vulnerabilidad previamente desconocida en uno de los productos de seguridad para desplegar cuatro implantes multimodulares a través de las redes de cada víctima. Estos implantes, llamados «FakeHMP», «Careto2», «Goreto» y «MDaemon implant», permitían hacer varias actividades maliciosas, incluyendo interceptar audio del micrófono, registrar pulsaciones de teclas, robar documentos confidenciales y datos de inicio de sesión.
Estas herramientas complejas y multimodales, según señala Kucherin, son un indicio del alto nivel de las operaciones llevadas a cabo por el grupo.
En su informe del primer trimestre de 2024, Kaspersky Lab también menciona a otros grupos de amenaza persistente avanzada (APT), incluyendo «Gelsemium», que anteriormente usaba exploits de servidor para implantar shells web y múltiples herramientas personalizadas en organizaciones de Palestina, y recientemente en Tayikistán y Kirguistán.