¿Quién robó los secretos de los países vecinos? Informe revela una amplia campaña de espionaje en la CEI
Hackers toman el control de decenas de organismos gubernamentales a través de una popular app de mensajería.
El grupo Hydra Saiga continúa con operaciones a gran escala de ciberespionaje contra estructuras estatales y objetos de infraestructura crítica. Un nuevo informe de VMRay muestra que la campaña opera desde hace al menos cinco años y ataca activamente a organizaciones en Europa, Asia Central y Oriente Medio, prestando especial atención al sector energético y a los recursos hídricos.
Hydra Saiga, también conocida como Yorotrooper y ShadowSilk, opera desde al menos 2021. La característica principal de la campaña es un sistema inusual de control del malware. Los operadores usan la API de Telegram Bot para transmitir comandos a los sistemas infectados. Este enfoque permite desplegar rápidamente la infraestructura de control y complica la detección de los ataques.
La infección ocurre de varias maneras. En uno de los episodios, los atacantes distribuyeron un archivo haciéndose pasar por una carta del representante permanente de Turkmenistán ante la ONU. El archivo ejecutable iniciaba un script oculto de PowerShell que se conectaba a Telegram y recibía comandos de los operadores. En otros casos los atacantes enviaron correos de phishing con archivos comprimidos y documentos de Word que contenían macros maliciosas. Al abrir el documento, la macro descargaba la siguiente fase del malware desde un servidor remoto.
Tras el acceso a la red, los atacantes actúan manualmente, usando de forma sucesiva herramientas estándar de Windows. Los operadores crean tareas en el Programador de tareas y modifican claves del registro para persistir en el sistema, recopilan contraseñas y copias de bases de datos de cuentas, y luego se desplazan por la red usando WMI y PsExec. Para ocultar la actividad desactivan Microsoft Defender y el firewall.
Se presta atención especial a la extracción de datos de los navegadores. Los investigadores detectaron varias herramientas escritas en Python y Go que extraen el historial de navegación, inicios de sesión guardados y cookies de Chrome, Edge, Firefox, Opera y Yandex Browser. Los datos obtenidos se comprimen y se envían a los servidores de control.
Según los autores del informe, Hydra Saiga ha comprometido al menos 34 organizaciones en ocho países. Los objetivos principales son estructuras estatales, empresas energéticas, instituciones científicas y despachos legales. Además, se registraron intentos de reconocimiento e acceso a las redes de más de 200 organizaciones en todo el mundo.
Destacó especialmente la serie de ataques contra la infraestructura de recursos hídricos en Asia Central. La campaña afectó a ministerios y empresas en Kirguistán, Uzbekistán y Tayikistán vinculadas con la gestión de los recursos hídricos de los ríos Syr Darya y Amu Darya. Paralelamente se registraron intentos de acceso a sistemas de control de equipos industriales y a instalaciones de la infraestructura del gas.
El estudio también reveló errores graves por parte de los operadores. En varios casos los atacantes contagiaron por accidente sus propias máquinas de trabajo, por lo que los analistas obtuvieron historiales de navegación, consultas de búsqueda e información sobre la infraestructura del bando atacante. Los datos obtenidos ayudaron a vincular a Hydra Saiga con el clúster conocido previamente como Tomiris, que los expertos relacionan con intereses de Kazajistán.
Los autores del informe consideran a Hydra Saiga como uno de los grupos más persistentes de la región. Los operadores desarrollan continuamente herramientas y ya experimentan con nuevos canales de control de malware, incluido el uso de Discord.