Investigadores de ciberseguridad han alertado de la existencia de un grupo de ciberdelincuentes de habla francesa denominado OPERA1ER, que habría sido responsable de una treintena de ataques entre 2018 y 2022.
Principalmente los dirige a bancos, servicios financieros y compañías de telecomunicaciones de África, pero también de Asia y Latinoamérica. Lo que busca, sobre todo, es hacer robos con fines financieros y exfiltrar documentos para su posterior uso en ataques de spear-phishing.
Sus cadenas de ataque se inician con emails de phishing selectivo que incluyen supuestas facturas y documentos escritos en francés, principalmente, aunque también en inglés.
Los correos incluyen adjuntos en ZIP o enlaces a Google Drive, servidores de Discord, sitios web legítimos infectados y otros dominios en manos de actores de amenazas. Estos pinchazos y descargas llevan a la instalación de troyanos de acceso remoto. Con ellos los cibermalos pueden establecer un acceso persistente, recopilar credenciales y filtrar archivo de interés.
Sin embargo, OPERA1ER se toma su tiempo antes de 'entrar a matar' y prepara las amenazas con paciencia. Según se ha observado, se demora entre 3 y 12 meses desde la intrusión inicial hasta realizar transacciones fraudulentas retirando dinero de los cajeros automáticos.
La fase final del ataque consiste en irrumpir el backend bancario digital de la víctima, moviendo dinero a otras cuentas y hasta retirarlo mediante cajeros automáticos gracias a una red de mulas contratadas con antelación.
Tiene nombres mil
Al grupo también se le conoce como DESKTOP-GROUP, Common Raven y NXSMS y llevaría activo desde 2016.
La firma de ciberseguridad Group-IB cree que los incidentes provocados por este colectivo han supuesto en total robos por valor de 11 millones de dólares y se estima que los daños reales provocados por el grupo ascienden a 30 millones.
En uno de los casos se emplearon más de 400 cuentas de suscriptores de mulas para mover el dinero. Group I-B no tiene ninguna duda de que "el ataque fue muy sofisticado, organizado, coordinado y planificado durante un largo período de tiempo".
OPERA1ER ha estado vinculado en 2021 con cinco ciberataques a bancos distintos de Burkina Faso, Benin, Costa de Marfil y Senegal. Algunas de sus víctimas fueron comprometidas incluso en dos ocasiones y su infraestructura fue armada con el fin de atacar después a otras organizaciones.
"OPERA1ER a menudo opera durante los fines de semana y días festivos", explica Group-IB en un informe compartido con The Hacker News.
El grupo suele servirse de exploits para vulnerabilidades descubiertas hace tiempo y basarse en malware disponible públicamente.
"Todo el arsenal del adversario se basa en programas de código abierto y troyanos, o RAT publicados de forma gratuita que se pueden encontrar en la dark web". Así, usaría malware comercial como Nanocore, Netwire, Agent Teslam Venom RAT, BitRAT, Metasploit y Cobalt Strike Beacon, entre otros.
Todos estos hallazgos han sido realizados por Group-IB en colaboración con la compañía de telecomunicaciones francesa Orange.