Donot Team, también conocido como APT-C-35 y SectorE02, es un grupo que viene operando desde al menos 2016 y que es conocido por tener como objetivos a organizaciones y personas del sur de Asia, a las que infecta con malware para Windows y Android.
Un informe reciente de Amnistía Internacional vincula su software malicioso con una empresa india de ciberseguridad que podría estar vendiendo el software espía u ofreciendo un servicio de hackers por encargo a los gobiernos de la región.
La firma de seguridad ESET llevó a cabo una investigación para monitorizar las actividades del grupo durante todo un año, desde septiembre de 2020 hasta octubre de 2021. Gracias a ello han descubierto campañas recientes y un arsenal de amenazas actualizado.
Según arrojan los resultados de la investigación, Donot Team es muy persistente y ha atacado sistemáticamente a las mismas organizaciones durante al menos los dos últimos años.
ESET asegura que el grupo APT se centra en un pequeño número de objetivos principalmente en el sur de Asia: Bangladesh, Sri Lanka, Pakistán y Nepal. Sin embargo, también han atacado en alguna ocasión las embajadas de estos países en otras regiones, como Oriente Medio, Europa, América del Norte y América Latina,
Sus amenazas se centran en organizaciones gubernamentales y militares, Ministerios de Asuntos Exteriores y embajadas, y están motivados por el ciberespionaje.
“Hemos seguido de cerca las actividades de Donot Team, y hemos rastreado varias campañas que aprovechan el malware para Windows derivado del marco de malware yty de la firma del grupo”, comenta el investigador de ESET Facundo Muñoz, que dirigió la investigación sobre las actividades del grupo.
El objetivo principal del framework de malware "yty" es recopilar y exfiltrar datos. Consiste en una cadena de downloaders que, en última instancia, descargan una puerta trasera con una funcionalidad mínima, utilizada para descargar y ejecutar otros componentes del conjunto de herramientas de Donot Team. Entre ellos se encuentran los recolectores de archivos basados en la extensión de los mismos y en el año de creación, los capturadores de pantalla, los keyloggers y los reverse shells, entre otros.
Quien la sigue la consigue
ESET también asegura que Donot Team ha estado atacando constantemente a las mismas entidades con oleadas de correos electrónicos dirigidos cada dos o cuatro meses. Estos emails llevan adjuntos documentos maliciosos de Microsoft Office que los atacantes utilizan para desplegar su malware.
Lo más grave es que algunos emails que ESET pudo recuperar no mostraban suplantación de identidad, ya que fueron enviados desde las mismas organizaciones que estaban siendo atacadas. Parece que habrían comprometido las cuentas de correo electrónico en campañas anteriores, o el servidor de de email utilizado por dichas organizaciones, según explica Muñoz.
La investigación se ha centado en dos variantes de yty: Gedit y DarkMusical. Los investigadores han llamado así a la última por los nombres que los atacantes eligieron para sus archivos y carpetas: muchos son celebridades del oeste o personajes de la película High School Musical de Disney. Esta variante se utilizó en campañas dirigidas a organizaciones militares en Bangladesh y Nepal.