Dentro del panorama global de ciberamenazas cada vez es más común encontrarse con grupos que se 'especializan' en un sector o industria concreta y enfocan sus ataques en empresas e instituciones de este vertical.
BlackBerry ha revelado la existencia de una de esas pandillas, que en este caso tiene como diana el sector aeroespacial de EE.UU.
La empresa tecnológica cuenta con una confianza media a alta de que el objetivo de sus ciberataques es el ciberespionaje comercial para recopilar información valiosa.
La banda, denominada 'AeroBlade', habría actuado en dos tiempos. Se cree que los primeros incidentes perpetrados por esta pandilla se dieron en septiembre de 2022. En julio de este año volvieron a la carga con amenazas más avanzadas.
Los cibercriminales usaron correos electrónicos de phishing con documentos adjuntos maliciosos que empleaban inyección remota de plantilla para obtener acceso inicial a las redes corporativas, lanzando una carga útil de shell inverso capaz de enumerar archivos y robar datos.
En una segunda etapa ejecutaban macros maliciosas que crean un shell inverso en el sistema del objetivo, que se conecta al servidor de comando y control (C2) del atacante.
Según aclara BlackBerry, "una vez que la víctima abre el archivo y lo ejecuta haciendo clic manualmente en el botón 'Habilitar contenido' mensaje señuelo, el documento discretamente coloca un nuevo archivo en el sistema y lo abre".
"El documento recién descargado es legible, lo que lleva a la víctima a creer que el archivo recibido inicialmente por correo electrónico es legítimo", añade.
AeroBlade ha continuado evolucionando sus herramientas para llevar a cabo ataques más sofisticados, mientras que sus intentos iniciales estuvieron más centrados en probar la cadena de intrusión e infección.
¿Para quién o quiénes trabajan?
Por ahora la firma de la zarzamora no ha podido determinar el origen de este nuevo y peligroso grupo de cibermalos ni qué pretenden con sus ataques.
Los investigadores especulan que su intención era el robo de datos para venderlos y ofrecérselos a competidores aeroespaciales internacionales o quizás usarlos para extorsionar a las víctimas.