Rootkits, túneles y camuflaje como "los nuestros": revelamos el arsenal clandestino del grupo APT Goffee
Nueva investigación sobre una serie de ataques realizada por Positive Technologies.
Positive Technologies descubrió un conjunto de herramientas hasta ahora desconocido utilizado por el cibergrupo Goffee. Estos medios se emplean en las etapas tardías de los ataques y permiten a los atacantes mantener acceso prolongado a la infraestructura de las empresas sin levantar sospechas. Las consecuencias de la actividad de Goffee ya se han sentido en organizaciones rusas: en algunas se produjeron paradas de procesos empresariales.
Durante 2024 se investigó una serie de incidentes con signos similares. Tras correlacionar los datos, se agruparon en un único clúster y se atribuyeron a Goffee. Este grupo actúa al menos desde 2022 y utiliza campañas de phishing para la intrusión inicial en las redes de empresas rusas. Hay muy poca información pública sobre él, lo que se explica por la geografía limitada de los ataques y por el empeño del propio grupo en evitar la exposición durante el mayor tiempo posible.
Llamó especialmente la atención el arsenal empleado en las etapas avanzadas de los ataques. Para mantener una presencia oculta y controlar la red se usan el rootkit sauropsida, las herramientas de tunelización DQuic y BindSycler, así como el backdoor MiRat. Además se emplean desarrollos ya conocidos: el módulo owowa, que permite robar cuentas de usuario, y PowerTaskel, un agente cerrado para el framework Mythic. La combinación de herramientas nuevas y antiguas da flexibilidad a las operaciones y complica la investigación de las consecuencias de la intrusión.
También se logró identificar un perfil de red característico de Goffee. El grupo prefiere operar con direcciones IP y servicios de hosting rusos, lo que le permite disfrazar su actividad como si viniera de empleados internos y eludir la filtración por criterio geográfico. Este enfoque es especialmente efectivo en etapas intermedias, cuando se entregan a la infraestructura módulos maliciosos adicionales y se establecen conexiones ocultas.
El análisis muestra un alto nivel de preparación: el uso de soluciones propias de tunelización y rootkits dificulta detectar las huellas de la intrusión incluso en sistemas protegidos. Eso también complica mucho la investigación de las etapas tardías del ataque. Los principales objetivos siguen siendo las estructuras estatales rusas y las organizaciones vinculadas a ellas, y la naturaleza de la actividad apunta a labores de ciberespionaje.
Para reducir el riesgo es necesario un conjunto de medidas que incluya una gestión regular de vulnerabilidades, monitorización continua de eventos de seguridad y la construcción de la infraestructura teniendo en cuenta las políticas de protección de la información vigentes. Ese enfoque aumenta el tiempo que necesitan los atacantes para avanzar dentro de la red y eleva la probabilidad de detectar el ataque antes de que se produzcan consecuencias críticas.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla