Por primera vez partidos políticos alemanes están siendo objetivo de hackers de sombrero negro vinculados a Rusia, desviando su atención de los ataques típicos a las misiones diplomáticas.
Según alertan los investigadores, dichos ciberataques están diseñados para implementar un malware de puerta trasera llamado WineLoader. Esta herramienta permite a los actores de amenazas obtener acceso remoto a dispositivos y redes comprometidos.
La banda de piratas informáticos que estaría 'dando guerra' a los políticos alemanes sería el grupo de amenazas persistentes avanzadas APT29 (conocido también como Midnight Blizzard, Nobelium o Cozy Bear). Esta se cree que forma parte del Servicio de Inteligencia Exterior de Rusia (SVR).
Los investigadores de Mandiant han advertido como esta campaña estuvo activa desde febrero de 2024. Parece ser que ha sido un cambio significativo en su operativo, ya que hasta la fecha la banda no se había dirigido a partidos políticos.
Los cibermalos trataban de usar un señuelo con emails de phising en torno a la Unión Democrática Cristiana (UDC), el segundo partido de Alemania con más representación en el Bundestag y miembro del Partido Popular Europeo.
Estos emails detectados por Mandiant emulan ser invitaciones a una cena del partido que incluyen un enlace a una página externa que arroja un archivo ZIP que contiene el dropper del malware Rootsaw.
Cuando es abierto, dicho malware se descarga y ejecuta una puerta trasera llamada WineLoader en el ordenador de la víctima. Este otro malware fue descubierto hace un par de meses y se llama así porque se encontró implementado en ataques de phising que pretendían ser invitaciones a diplomáticos para un evento de una cata de vinos.
Los analistas de Mandiant vieron WineLoader por primera vez a finales de enero de 2024 en una operación dirigida a diplomáticos de la República Checa, Alemania, India, Italia, Letonia y Perú. Por lo tanto, esta variante particular parece haber sido el malware elegido por APT29 últimamente.
Otras 'liadas'
Este popular APT ha sido autor de unos cuantos ciberataques, como el que ocurrió en la cadena de suministro de SolarWinds en diciembre de 2020.
En estos años Cozy Bear ha continuado apuntando a gobiernos, embajadas, altos funcionarios y diversas entidades, sirviéndose de un amplio abanico de técnicas de phishing o compromisos a la cadena de suministro.
Los piratas informáticos rusos también ha violado los sistemas de Microsoft y robado datos de cuentas de Exchange, así como el correo de MS Office 365 usado por Hewlett Packard Enterprise.