Los activistas de derechos humanos asociados con la causa de la República Árabe Saharaui Democrática (RASD), principalmente los radicados en Marruecos y en la región del Sáhara Occidental, se encuentran en el punto de mira de un nuevo grupo de ciberdelincuentes.
Así lo revela la compañía de ciberseguridad Cisco Talos en un informe que recoge los hallazgos de sus investigadores sobre este actor de amenazas, al que han bautizado como "Starry Addax" y continúan rastreando.
El timeline de la actividad de Starry Addax comienza a principios del pasado mes de enero, cuando registró el primer dominio para llevar a cabo ataques de phishing, su especialidad. Poco después, a mediados de enero, desarrolló el "novedoso malware móvil" que utiliza, denominado "FlexStarling". Posteriormente, a principios de febrero, el grupo registró un segundo dominio y a finales de ese mismo mes lanzó una campaña de spear-phishing que todavía sigue en marcha.
Según señala Cisco Talos, la infraestructura de Starry Addax está diseñada para atacar tanto a usuarios de Android como de Windows. En ambos casos, la cadena de infección comienza con correos electrónicos de phishing, dirigidos a "personas de alto valor" y que incluyen un enlace a un dominio y página web controladas por el grupo.
En el caso de los usuarios de Android, los correos incluyen el malware FlexStarling, el cual se hace pasar por una versión de la aplicación de Sahara Press Service (SPRASD), una agencia de medios vinculada a la RASD.
"El malware ofrecerá contenido en español desde el sitio web de SPRASSD para parecer legítimo de cara a la víctima. Sin embargo, en realidad, 'FlexStarling' es un malware muy versátil capaz de implementar componentes de malware adicionales y robar información de los dispositivos infectados", advierte el informe.
Por otra parte, los correos de phishing que dirige Starry Addax a los usuarios de Windows les instan a acceder a enlaces que conducen a páginas de inicio de sesión falsas para plataformas de redes sociales populares, diseñadas para recopilar sus credenciales. Aunque Cisco Talos no especifica las plataformas que están siendo suplantadas, ya que mantiene abierta la investigación sobre el grupo, afirma que los atacantes se están centrando en páginas de inicio de sesión para medios y servicios de correo electrónico ampliamente utilizados en todo el mundo.
Starry Addax, una amenaza creciente
El informe también advierte que Starry Addax se ha esforzado en evadir las detecciones para operar pasando desapercibido, como pone de manifiesto el uso de FlexStarling desde un comando y control (C2) basado en Firebase, en lugar de utilizar un malware o software espía que esté disponible comercialmente. "Todos los componentes, desde el malware hasta la infraestructura operativa, parecen estar hechos a medida para esta campaña específica, lo que indica un gran enfoque en el sigilo y en la realización de actividades bajo el radar".
Además, Cisco Talos apunta que es probable que Starry Addax esté dando sus primeros pasos y sea una amenaza creciente. "Las líneas de tiempo conectadas a varios artefactos utilizados en los ataques indican que esta campaña recién está comenzando y puede estar en sus etapas incipientes con más infraestructura y Starry Addax trabajando en variantes de malware adicionales".