Una campaña dirigida a funcionarios europeos dedicados a relaciones diplomáticas con India ha sido detectada hace pocos días por los investigadores de ThreatLabz, el equipo de ciberseguridad de la compañía Zscaler. Se trata de un malware de puerta trasera del que no se tenían registros.
El actor malicioso fue apodado “SpikedWine” –“vino con púas” –, y su estrategia fue enviar por correo electrónico una invitación a una supuesta cata de vino a través de un archivo PDF. El evento se realizaría el 2 de febrero de 2024 y pretendía ser una convocatoria del embajador de la India en su propia residencia.
No obstante, al acceder a la invitación, se descargaba el archivo denominado “WineLoader”, un malware de puerta trasera que los especialistas calificaron como excepcionalmente evasivo, que emplea técnicas como volver a cifrar y poner a cero los buffers de memoria, que sirven para proteger datos confidenciales en la memoria y evadir las soluciones forenses de la memoria.
“Creemos que este ataque lo llevó a cabo un actor de amenaza de estado-nación, interesado en explotar las relaciones geopolíticas entre India y diplomáticos en naciones europeas”.
El archivo también incluía un enlace a un cuestionario falso bajo la premisa de que era necesario rellenarlo para poder participar. Ese link redirigía a los usuarios a un archivo ZIP malicioso alojado en un sitio comprometido, iniciando la cadena de infección que terminaba con la entrega modular de WineLoader.
“El ataque se caracteriza por su muy bajo volumen y las tácticas, técnicas y procedimientos avanzados (TTP) empleados en el malware y la infraestructura de comando y control (C2)”, señala el informe de ThreatLabz.
El sospechoso PDF fue hallado por ThreatLabz en la plataforma VirusTotal, una herramienta en línea gratuita que permite verificar la seguridad de los archivos enviándolos a un servidor para su análisis. Había sido subido desde Letonia el 30 de enero de 2024.
Los analistas destacaron el alto nivel de sofisticación de la campaña, tanto en la elaboración creativa de la ingeniería social, como en la meticulosa elaboración del PDF con detalles que imitan una invitación oficial, y en el malware. El objetivo es el espionaje, comprometiendo la privacidad de los diplomáticos europeos relacionados con India.
Si bien aún no se ha atribuido el ataque a ningún grupo APT (amenaza avanzada persistente) conocido, “creemos que este ataque lo llevó a cabo un actor de amenaza de estado-nación, interesado en explotar las relaciones geopolíticas entre India y diplomáticos en naciones europeas”, explicaron los investigadores de Zscaler ThreatLabz.