Investigadores de seguridad han hallado una campaña de larga duración para espiar a embajadas de otros países en Bielorrusa.
El responsable de la misma sería un pirata informático hasta la fecha no documentado qu opera con el nombre en código de MoustacheBouncer.
Matthieu Faou, investigador de seguridad de ESET, comenta que "desde 2020, es muy probable que MoustachedBouncer haya podido realizar ataques de adversario en el medio (AitM) a nivel de ISP, dentro de Bielorrusia, para comprometer sus objetivos".
Los ataques AiTM o de adversario en el medio consisten en que los ciberdelincuentes instalan un servidor proxy entre un usuario objetivo y la web que el usuario desea visitar, el cual es el sitio de phishing bajo el control de los atacantes. Así pueden hacerse con las credenciales y acceder al tráfico.
Una amenaza de larga duración
Se cree que este actor de amenazas -obviamente alineado con los intereses de Bielorrusia- podría llevar activo desde al menos 2014.
Desde junio de 2017 el personal de la embajada de cuatro países distintos ha sido atacado. Se sabe que dos están en Europa, uno en el sur de Asia y uno en el noroeste de África. Sin embargo, no se han desvelado los países concretos.
Un detalle interesante que se ha conocido es que MoustacheBouncer trabaja en colaboración estrecha con otro actor de amenazas persistentes avanzadas (APT) al que se conoce como Winter Vivern (o TA473 o UAC-0114), el cual tiene un historial de ataques a funcionarios gubernamentales en Europa y EE.UU.
Según se hace eco The Hacker News, el ciberdelincuente se habría servido de un sistema de interceptación legal como SORM para realizar sus ataques AitM y desplegar herramientas dispares llamadas NightClub y Disco.
Ambos marcos de malware de Windows admiten complementos de espionaje adicionales que incluyen un capturador de pantalla, una grabadora de audio y un ladrón de archivos. La muestra más antigua de NightClub se remonta al 19 de noviembre de 2014, cuando se subió a VirusTotal desde Ucrania.