The Mask: hackers convierten a Google en un arma contra la diplomacia global

En la conferencia internacional Virus Bulletin, los especialistas de Kaspersky Lab compartieron investigaciones sobre el grupo The Mask (Careto), conocido por sus ataques de alta tecnología desde 2007. Los objetivos de sus ataques incluían estructuras diplomáticas, gobiernos e instituciones científicas. Tras un largo periodo de inactividad, el grupo volvió a captar atención al mostrar nuevos y sofisticados enfoques.

Uno de los episodios más destacados fue el caso de infección de una organización en América Latina en 2022. Los hackers comprometieron un servidor de correo MDaemon, integrando una extensión maliciosa a través del componente WorldClient. La configuración de las extensiones permitió a los atacantes obtener acceso persistente y controlar la infraestructura comprometida mediante solicitudes HTTP.

El módulo malicioso instalado, FakeHMP, contaba con amplias capacidades: recolección de datos, registro de pulsaciones de teclas (keylogging), captura de pantallas y despliegue de otros programas maliciosos. Para propagarse dentro de la red, se utilizó el controlador legítimo hmpalert.sys, lo que permitió inyectar bibliotecas maliciosas en procesos críticos como winlogon.exe. En 2024, los investigadores detectaron una técnica similar de infección, pero utilizando Google Updater en lugar de las tareas programadas empleadas anteriormente.

El análisis de datos reveló que en 2019 la misma organización fue atacada con los frameworks Careto2 y Goreto. El primero incluía módulos para la gestión de configuraciones, filtrado de archivos y almacenamiento de datos robados. El segundo, escrito en Golang, permitía interactuar con Google Drive para cargar y ejecutar comandos. Los métodos para mantener el acceso incluían secuestro de COM (COM Hijacking) y el uso de sistemas de archivos virtuales.

Es interesante notar que los nombres de los archivos y la estructura de los plugins utilizados en 2019 tienen similitudes con los ataques realizados entre 2007 y 2013. Este hecho, junto con las características únicas de las cargas maliciosas, permitió a los expertos vincular con confianza los ataques modernos al grupo Careto.

The Mask sigue siendo una de las amenazas más complejas en el ámbito de la ciberseguridad. Sus métodos de infección mediante controladores y el uso de almacenamiento en la nube demuestran no solo un alto nivel técnico, sino también flexibilidad para adaptarse a nuevas condiciones. Los expertos creen que las futuras campañas de este grupo mantendrán un nivel de complejidad igualmente alto.

La última vez que Careto se dio a conocer fue en mayo de 2024, reanundando su actividad después de más de 10 años de inactividad. Los hackers comenzaron sus operaciones en 2007 y desaparecieron en 2013, afectando a 380 objetivos únicos en 31 países, incluidos Estados Unidos, Reino Unido, Francia, Alemania, China y Brasil.