El pasado 1 de octubre, la Agencia de Ciberseguridad (CISA) del Departamento de Seguridad Nacional (DHS) de Estados Unidos difundió información sobre SlothfulMedia, una familia de malware atribuida a un actor de ciberamenazas muy sofisticado.
Ahora, la compañía de ciberseguridad Kaspersky ha emitido un comunicado para informar que, tras un análisis exhaustivo del informe, ha comprobado que llevaba rastreando estas actividades desde junio de 2018 y que había identificado el actor detrás de esta amenaza como IAmTheKing. Además, ha señalado que su objetivo principal era recopilar inteligencia de organizaciones de alto nivel, principalmente en Rusia, y que es un actor patrocinado por un Estado.
Las principales características del malware IAmTheKing
Según afirma Kaspersky, IAmTheKing ha estado muy activo en los últimos años a pesar de que la información sobre sus actividades se ha hecho pública recientemente. "El actor cuenta con un kit de herramientas en continua evolución, domina las metodologías de pruebas de penetración tradicionales y cuenta con sólidos conocimientos de Powershell –una herramienta para la automatización de tareas y la gestión de la configuración", indica.
En los dos últimos años, los investigadores de Kaspersky consiguieron descubrir tres familias de malware desarrolladas por el mismo actor de ciberamenazas. Se conocen por los nombres, KingOfHearts, QueenofHearts y QueenofClubsuna familia identificada por la CISA como SlothfulMedia– y son puertas traseras, programas que facilitan el acceso remoto al dispositivo infectado. Sin embargo, este actor de amenazas utiliza un kit de herramientas que también incluye un amplio arsenal de scripts Powershell, un dropper de JackOfHearts y una utilidad de captura de pantalla.
"Los atacantes recurrieron principalmente a técnicas de 'spear phishing' para infectar con malware los dispositivos de las víctimas y, a continuación, recurrieron a programas de control de seguridad conocidos para comprometer a otras máquinas dentro de la misma red", advierte la compañía de ciberseguridad.
Ha cambiado sus destinos objetivo
Además, Kaspersky subraya que IAmTheKing ha cambiado muy recientemente sus destinos objetivo. Según explica, hasta hace muy poco se había centrado principalmente en recopilar inteligencia de organizaciones rusas de alto nivel, teniendo entre sus víctimas a entidades de la Administración, contratistas del sector de defensa, agencias de desarrollo público, universidades y compañías energéticas.
Sin embargo, este año la compañía descubrió incidentes relacionados con IAmTheKing en países del este de Europa y Asia Central, y la CISA también ha informado sobre actividades en Ucrania y Malasia. En este sentido, Kaspersky declara que no está claro si los cambios en sus objetivos son un indicio de que el actor está adaptando su estrategia o de si otros actores están usando su kit de herramientas.
"IAmTheKing podría intentar adaptarse y actualizar su kit de herramientas"
"IAmTheKing ha estado funcionando durante varios años y sus actividades son muy específicas, aunque su kit de herramientas, a pesar de estar bien desarrollado, no se puede considerar como técnicamente excepcional. Una vez que se ha hecho pública la existencia de este actor de ciberamenazas, cada vez más organizaciones buscarán hacerse con este kit de herramientas. Por ello, hemos querido compartir los datos que hemos recopilado hasta el momento, para fomentar la colaboración y ayudar a otros especialistas en ciberseguridad a desarrollar medidas de protección frente a este actor de amenazas. Es importante señalar, sin embargo, que ahora que la existencia de IAmTheKing es de dominio público, este podría intentar adaptarse y actualizar su kit de herramientas. Por lo tanto, seguiremos investigando y compartiendo información sobre la actividad de este actor de amenazas con nuestros clientes", ha afirmado Ivan Kwiatkowski, investigador senior de seguridad del equipo de análisis e investigación global de Kaspersky (GReAT).