Robo masivo: por qué los servicios en la nube se han convertido en el objetivo perfecto para los ciberespías
Los delincuentes ya no tienen por qué esconderse en las sombras.
Los especialistas de Seqrite Labs detectaron una serie de ciberespionaje denominada Operation CamelClone. La campaña afectó a varios países y se centró en organismos gubernamentales, entidades de defensa y misiones diplomáticas. El análisis mostró que los atacantes utilizaron una cadena de infección idéntica y señuelos similares, pese a las diferencias en la temática de los documentos y la geografía de los objetivos.
Los objetivos principales de la operación fueron ministerios estatales, estructuras militares, organismos de política exterior y cooperación internacional, así como organizaciones del sector energético. Se registraron ataques en Argelia, Mongolia, Ucrania y Kuwait. Según los especialistas, los países seleccionados ocupan una posición importante en la actual situación geopolítica, lo que los hace atractivos para la actividad de inteligencia.
Rastros de la campaña se detectaron por primera vez a finales de febrero. Uno de los archivos descargados desde Argelia se hacía pasar por un documento del ministerio de Vivienda y Desarrollo Urbano. El archivo comprimido contenía una imagen con el logotipo del ministerio y un acceso directo que ejecutaba un script malicioso.
Poco después apareció otro señuelo orientado a instituciones mongolas. El archivo comprimido se titulaba «Ampliación de la cooperación con China» y contenía una imagen con el logotipo de la empresa estatal MonAtom, vinculada a la explotación de uranio y al desarrollo de la energía nuclear.
En marzo los especialistas detectaron otros dos ejemplares. Uno de los archivos comprimidos hacía referencia a ofertas de cooperación entre Argelia y Ucrania; el otro, a solicitudes de armamento para la fuerza aérea de Kuwait. En su interior había imágenes con simbología oficial de instituciones estatales, destinadas a aumentar la confianza de los destinatarios.
La cadena de infección comenzaba con un archivo ZIP que contenía una imagen y un acceso directo en formato LNK. Al abrir el acceso directo se ejecutaba un comando PowerShell que descargaba un componente adicional desde el sitio filebulldogs.com. A continuación se descargaba un cargador JavaScript llamado HOPPINGANT. El script ejecutaba comandos PowerShell codificados y descargaba archivos adicionales.
En la siguiente fase, el código malicioso descargaba un archivo comprimido con un ejecutable. En su interior había un programa legítimo, Rclone versión 1.70.3. Los atacantes usaron la herramienta para extraer datos. El script recopilaba documentos desde el escritorio del usuario, incluidos archivos DOC, DOCX, PDF y TXT. Además intentaba obtener datos de sesión del directorio de Telegram Desktop.
Los archivos robados se enviaban al almacenamiento en la nube de MEGA. Para la transferencia de datos los atacantes utilizaron varias cuentas recién registradas, creadas mediante el servicio de correo anónimo onionmail.org. El acceso al almacenamiento se configuraba automáticamente a través de Rclone tras descifrar la contraseña oculta en el código del cargador.
La particularidad de Operation CamelClone radica en el uso de servicios públicos en lugar de una infraestructura propia de control. Los archivos maliciosos se alojaban en un servicio anónimo de intercambio de archivos y los datos exfiltrados se enviaban a MEGA. Este enfoque dificulta la detección de la actividad a nivel de monitorización de red.
Hasta ahora los autores del informe no vinculan la operación con un grupo concreto. No obstante, la naturaleza de los objetivos, la temática geopolítica de los señuelos y la selección de estructuras estatales apuntan a fines de inteligencia y no a motivaciones financieras.