«Trabajamos por el bien del país», pensaban los administradores de sistemas, mientras sus redes se filtraban silenciosamente a los enemigos.
PhantomCore actualiza su arsenal. En Rusia se han registrado más de 180 infecciones.
Positive Technologies registró una nueva ola de ataques del grupo de ciberespionaje PhantomCore, dirigidos exclusivamente contra la infraestructura crítica de Rusia. Los expertos de la compañía impidieron que se produjeran incidentes inaceptables y notificaron a las organizaciones afectadas.
Desde mayo hasta julio, los especialistas del departamento de Threat Intelligence del centro experto de seguridad de Positive Technologies (PT ESC TI) detectaron más de 180 sistemas infectados en organizaciones rusas. La primera infección se registró el 12 de mayo, y el pico se produjo en junio: el 56% de todos los casos correspondió al 30 de junio. En promedio los atacantes permanecieron en las redes comprometidas 24 días, y el máximo fue de 78. Al menos 49 hosts siguen bajo el control de PhantomCore.
Entre los afectados hubo organismos gubernamentales, institutos de investigación, empresas del complejo industrial de defensa, de la construcción naval, de la industria química, minera y manufacturera, así como compañías de TI.
Según Positive Technologies, PhantomCore opera desde principios de 2024 y se especializa en obtener acceso a información confidencial. El grupo emplea un amplio conjunto de herramientas: desde utilidades de código abierto populares y versiones actualizadas de soluciones conocidas hasta desarrollos propios que antes no se habían visto por los investigadores.
Esa combinación permite a los hackers permanecer largo tiempo sin ser detectados dentro de las redes infectadas. La infraestructura de PhantomCore está claramente segmentada: cada eslabón se encarga de funciones determinadas y del control de clases concretas de herramientas.
Casi la mitad de la infraestructura maliciosa (48%) está alojada en Rusia, principalmente en las redes de tres proveedores. La infraestructura extranjera (52%) se distribuye entre Finlandia, Francia, Países Bajos, Estados Unidos, Alemania, Hong Kong, Moldavia y Polonia. Un proveedor canadiense concentra el 33% de toda la infraestructura.
El especialista principal del grupo de ciberinteligencia de PT ESC TI, Víktor Kazakov, señaló que el incremento de la actividad de PhantomCore está relacionado con la renovación de su arsenal: «Probablemente, hasta finales de abril los atacantes preparaban una nueva serie de ataques, trabajando principalmente en las herramientas». Según él, también se detectó una rama separada de PhantomCore, creada, presumiblemente, por uno de los miembros del grupo principal. Está formada por participantes menos cualificados y se utiliza para ampliar la actividad cibercriminal.
Según Positive Technologies, el nivel de amenaza que representa PhantomCore para las organizaciones rusas seguirá siendo alto. Los expertos continuarán rastreando la actividad del grupo y advirtiendo sobre ciberataques en preparación.
Las huellas digitales son tu debilidad, y los hackers lo saben