Los hutíes contra los militares: GuardZoo roba secretos estratégicos

En marzo de 2014, Symantec descubrió por primera vez un troyano de acceso remoto para Android llamado Dendroid RAT. Este software malicioso se vendía por $300 y tenía una amplia gama de funciones, incluyendo el control de llamadas, acceso a mensajes SMS, creación de fotos y videos, así como la iniciación de ataques HTTP. En agosto del mismo año, todo el código fuente de Dendroid RAT se filtró en línea.

Este mes, investigadores de la empresa Lookout vincularon públicamente una actividad maliciosa recién descubierta con el Dendroid RAT filtrado. Según los expertos, los ciberdelincuentes compilaron una nueva versión de la herramienta de hacking llamada GuardZoo basada en este.

El principal objetivo de los ataques con GuardZoo fueron militares de países de Oriente Medio, y los investigadores atribuyen la creación y explotación del malware a los hutíes yemeníes. Se informa que GuardZoo ha estado en uso durante muchos años, al menos desde octubre de 2019. Sin embargo, solo ahora los expertos han reunido suficiente información para hacer una suposición fundamentada sobre el origen del malware y la naturaleza de los ataques.

Los hutíes tomaron el control de la capital de Yemen en 2014, lo que llevó a una guerra civil. Según organizaciones de derechos humanos, desde junio de 2019, la controvertida intervención de Arabia Saudita ha provocado una ola de arrestos arbitrarios, torturas y desapariciones forzadas.

La versión actualizada de GuardZoo se distribuye a través de WhatsApp y WhatsApp Business, así como a través de descargas directas desde navegadores móviles. El malware admite más de 60 comandos, incluyendo la capacidad de recibir cargas útiles adicionales, cargar archivos y APK, cambiar la dirección del servidor de comando y eliminarse a sí mismo del dispositivo infectado.

Aunque los señuelos para GuardZoo inicialmente eran bastante generales, con el tiempo evolucionaron para incluir temas militares con nombres como «Constitución de las Fuerzas Armadas» y «Reestructuración de las nuevas Fuerzas Armadas». Mientras tanto, los emblemas de las fuerzas armadas de varios países de Oriente Medio, incluidos Yemen y Arabia Saudita, aparecían regularmente en aplicaciones similares.

La actividad maliciosa ha afectado a más de 450 víctimas, principalmente militares de Yemen, así como de Egipto, Omán, Qatar, Arabia Saudita, Turquía y los EAU. GuardZoo está específicamente diseñado para robar fotos, documentos y archivos de mapas de los dispositivos de las víctimas, lo que indica un interés en recopilar información militar, táctica y estratégica.

Desde el inicio de la campaña, GuardZoo ha utilizado los mismos dominios DNS dinámicos para operaciones C2, que, aunque cambian regularmente, aún están registrados en YemenNet. Esto confirma la conexión con los hutíes, que controlan el noroeste de Yemen. En los últimos años, han estado integrando activamente capacidades cibernéticas en sus acciones, así como atacando directamente el ciberespacio, como el incidente de febrero con el cable submarino en el Mar Rojo.

Este incidente subraya la creciente importancia de la ciberseguridad en la esfera militar y la necesidad de una mayor vigilancia en el uso de dispositivos móviles por parte del personal militar. También demuestra cómo los conflictos políticos se trasladan cada vez más al espacio digital, donde la ventaja informativa puede ser crucial.