No es muy común que ocurra, pero a veces los virus informáticos tienen un efecto 'boomerang' y regresan a sus creadores y difusores. Esto es, precisamente, lo que le ha ocurrido al colectivo de ciberdelincuentes Patchwork.
Patchwork, también conocido como Dropping Elephant y Chinastrats, es un viejo conocido de los investigadores de ciberseguridad. Este grupo de origen inidio llevaría activo desde 2015 y se le conoce por tener como objetivos a figuras militares y políticas de todo el mundo, aunque con un foco particular en organizaciones de Pakistán.
Hace unas semanas, en noviembre, Patchwork llevó a cabo un ataque contra el Ministerio de Defensa de Pakistán usando una variante de un troyano de acceso remoto (RAT) de nombre Ragnatela.
El grupo de hackers se sirvió de correos electrónicos de phishing con archivos RTF maliciosos que trataban de emular a autoridades paquistaníes para llevar al engaño a sus receptores.
Cuanto conseguía acceder al sistema Ragnatela ofrecía a los atacantes acceso remoto al dispositivo infectado, pudiendo ejecutar comandos, enumerar archivos en el sistema, enumerar aplicaciones en ejecución, hacer capturas de pantalla y hasta registrar pulsaciones de teclas.
Espiados con su propio software
En esta campaña los atacantes tuvieron éxito y pudieron comprometer los datos de algunos usuarios del Ministerio de Defensa de Pakistán. Sin embargo, cometieron un error y llegaron a infectar su sistema informático con la nueva RAT.
Gracias a ello los investigadores de ciberseguridad pudieron monitorizarlos usando su propio software, suponiendo un 'cazador cazado' en toda regla. Este seguimiento ha sido realizado por Malwarebytes Labs, la firma conocida por su popular herramienta Malwarebytes, que llevaba un tiempo tras los piratas.
Los investigadores han descubierto que Patchwork se ocultaba tras una Red Privada Virtual o VPN para cambiar su direccion IP, y se servían de máquinas virtuales originadas con VirtualBox y VMware para probar el malware o gestionarlo.
Malwarebytes Labs también ha podido tener acceso al listado de víctimas del grupo, entre las que están la Universidad de Defensa Nacional de Islamabad, la Universidad de Medicina Molecular, una facultad de biociencias, y el Centro Internacional de Ciencias Químicas y Biológicas. A ellas hay que sumar el citado Ministerio de Defensa de Pakistán.