Alertan de la existencia de un grupo de hackers centrado en la aviación y la defensa

Los expertos advierten de que la industria aeroespacial y de defensa han sido blanco de un grupo de amenazas persistentes desde 2017.

Alberto Payo

Periodista

Guardar

La industria aeroespacial, objetivo de un grupo de amenazas persistentes.
La industria aeroespacial, objetivo de un grupo de amenazas persistentes.

Algunos grupos de ciberdelincuentes se han 'especializado' en ciertos sectores o industrias y cada cierto tiempo se conoce la existencia de nuevos colectivos de hackers que tienen algunos verticales como objetivos prioritarios, por múltiples razones. 

Esto es lo que llevaría ocurriendo desde hace un lustro. Según han advertido los expertos,  las industrias aéreas, aeroespacial, de transporte, de fabricación y defensa han sido el blanco de un grupo de amenazas persistentes desde al menos de 2017. 

Este colectivo ha llevado a cabo una serie de campañas de spear-phishing orquestadas para distribuir una variedad de troyanos de acceso remoto (RAT) en sistemas comprometidos. 

La firma de seguridad empresarial Proofpoint ha denominado a este actor de ciberamenazas que usa malware básico como NetWire y AsyncRAT, pero emplea "amplios objetivos con mensajes de gran volumen" con el nombre en código TA2541.

El grupo usaría señuelos de ingeniería social relacionados con temas como la aviación, la logística, el transporte y los viajes. Además, TA2541 extendió sus tópicos habituales a algunos relacionados con la COVID-19 con la explosión de la pandemia en la primavera de 2020. 

Mismo modus operandi, pero con variaciones

"Si bien TA2541 es consistente en algunos comportamientos, como el uso de correos electrónicos que se hacen pasar por compañías de aviación para distribuir troyanos de acceso remoto, otras tácticas como el método de entrega, los archivos adjuntos, las URL, la infraestructura y el tipo de malware han cambiado", ha señalado al medio The Hacker News Sherrod DeGrippo, vicepresidente de amenazas, investigación y detección de Proofpoint.

Sus campañas se han servido de archivos adjuntos de Microsoft Word cargados de macros para eliminar las cargas útiles de RAT. No obstante, las variantes recientes incluían enlaces a servicios en nube que alojaban el malware. 

Asimismo, también habrían utilizado links en la aplicación Discord con archivos comprimidos que contenían el código malicioso de AgentTesla o Inminent Monitor. 

Otras técnicas de interés empleadas por TA2541 incluirían el uso de servidores privados virtuales (VPS) para su infraestructura de envío de correo electrónico y DNS dinámico para actividades de comando y control (C2).

Parece que sus ataques de phising habrían afectado a cientos de organizaciones en todo el mundo, con objetivos recurrentes identificados en Norteamérica, Europa y Oriente Medio.