Investigadores del GReAT, el equipo de Investigación y Análisis Global de Kaspersky, han identificado una nueva campaña de malware que utiliza Telegram como vector de ataque para distribuir el troyano DarkMe. Los indicadores técnicos sugieren una fuerte conexión con el actor de amenazas persistente avanzado DeathStalker, conocido por sus operaciones de espionaje financiero. La campaña se ha dirigido a víctimas en múltiples regiones geográficas, con un enfoque particular en los sectores de fintech y comercio.
Los cibercriminales empleaban una técnica de engaño sofisticada. Disimulaban malware peligroso dentro de archivos comprimidos inofensivos, como RAR o ZIP, que eran compartidos en canales de Telegram. Al abrir estos archivos y ejecutar los elementos maliciosos con extensiones .LNK, .com o .cmd, los usuarios desconocían que estaban infectando sus dispositivos con el troyano DarkMe.
Los atacantes demostraron un alto nivel de sofisticación al implementar técnicas de limpieza exhaustivas. Y es que, después de instalar DarkMe, eliminaban los archivos utilizados para desplegar el malware, aumentaban el tamaño de los archivos para dificultar el análisis y eliminaban otros rastros como archivos de post-explotación, herramientas y claves de registro. Estas acciones tenían como objetivo hacer que la infección fuera lo más difícil de detectar posible.
Deathstalker, anteriormente conocido como Deceptikons, es una organización de inteligencia privada que lleva a cabo operaciones de ciberespionaje dirigidas a pequeñas y medianas empresas, entidades financieras y firmas legales. El grupo, compuesto por cibercriminales altamente capacitados, desarrolla sus propias herramientas y se enfoca en la recopilación de información confidencial, como datos financieros, comerciales y personales, con el objetivo de obtener una ventaja competitiva para sus clientes. A diferencia de otros grupos de hackers, Deathstalker no busca obtener ganancias directas a través del robo de fondos.
Desde el GReAT advierten que “el grupo también tiene una tendencia interesante a intentar evitar la atribución de sus actividades, imitando a otros actores de APT”.