El último Informe de Actividad de grupos APT publicado recientemente por ESET resumen las actividades de varios grupos seleccionados desde octubre de 2022 hasta finales de marzo de 2023.
Entre otras cosas el informe recoge que varios grupos APT alineados con China se centraron en atacar organizaciones europeas y asiáticas empleando tácticas que implicaban el uso de nuevas variantes de amenazas conocidas y nuevas puertas traseras, así como nuevos métodos de distribución de malware. Además, entre las víctimas hay una empresa especializada en apuestas en Filipinas, instituciones gubernamentales en el sur de Asia y un elevado número de intentos de phishing en el correo web de Zimbra.
En Oriente Próximo, algunos grupos alineados con Irán cambiaron de táctica y dejaron de utilizar sus propias herramientas para usar scripts de PowerShell. Mientras tanto, otros grupos con objetivos en Israel siguieron utilizando sus herramientas personalizadas para conseguir sus propósitos. Por su parte, grupos alineados con Corea del Norte siguieron centrándose en entidades surcoreanas o relacionadas con Corea del Sur utilizando sus conjuntos de herramientas habituales. Además de dirigirse a los empleados de un contratista de defensa en Polonia con una falsa oferta de trabajo de Boeing, Lazarus también dejó de centrarse en sus objetivos sectoriales habituales para hacerlo en una empresa de gestión de datos en la India, utilizando el nombre de la empresa Accenture como cebo.
Los grupos APT alineados con Rusia estuvieron especialmente activos en Ucrania y los países de la Unión Europea, con varios casos detectados de wipers (destructores de información) que incluían alguna variante nueva no detectada hasta el momento. Además, se siguieron utilizando correos electrónicos dirigidos que, en algunos casos, llevaron a la ejecución de herramientas usadas habitualmente en labores de pentesting para conseguir comprometer la red de la víctima.
Por último, ESET ha detectado que la plataforma de correo electrónico Zimbra, mencionada anteriormente, también fue explotada por un grupo especialmente activo en Europa. Además, la compañía ha observado un descenso significativo en la actividad de un grupo que tiene como objetivo al personal gubernamental de países de Asia Central y que utiliza correos electrónicos dirigidos, lo que los llevan a los investigadores de ESET a pensar que este grupo se está reestructurando actualmente.
En opinión de Josep Albors, Director de Investigación y Concienciación de ESET España, resulta vital conocer los objetivos de los grupos APTs, «independientemente de quien esté detrás de sus actividades», así como las herramientas que utilizan, «para poder establecer medidas preventivas que dificulten estos ataques».
