Los ciberdelincuentes están secuestrando los dispositivos de los activistas de derechos civiles y plantando «pruebas incriminatorias» en ciberataques encubiertos, advierten los investigadores.
Según SentinelLabs, un grupo de amenazas persistentes avanzadas (APT) denominado ModifiedElephant ha sido responsable de ataques generalizados contra activistas y defensores de los derechos humanos, académicos, periodistas y abogados en toda la India.
Se cree que APT ha estado en funcionamiento desde al menos 2012, y durante la última década, ModifiedElephant se ha dirigido de manera continua y persistente a personas de interés específicas y de alto perfil.
Sin embargo, en lugar de centrarse en el robo de datos, las actividades de la APT son mucho más siniestras: una vez dentro de la máquina de una víctima, el grupo realiza vigilancia y puede plantar archivos incriminatorios que luego se utilizan para enjuiciar a las personas.
«El objetivo de ModifiedElephant es la vigilancia a largo plazo que, en ocasiones, concluye con la entrega de ‘pruebas’, archivos que incriminan al objetivo en delitos específicos, antes de los arrestos convenientemente coordinados», dicen los investigadores.
SentinelLabs ha identificado «cientos de grupos e individuos» a los que apunta la APT.
ModifiedElephant inicia una cadena de infección con correos electrónicos de spear-phishing. Estos correos electrónicos contienen documentos cargados de malware, incluidos los troyanos de acceso remoto (RAT) NetWire y DarkComet, así como registradores de pulsaciones de teclas y un troyano de Android.
SentinelLabs ha conectado los puntos entre ataques previamente no atribuibles y dice que si bien ModifiedElephant ha operado bajo el radar durante tanto tiempo, existe una «correlación observable entre los ataques de ModifiedElephant y los arrestos de personas en casos controvertidos y políticamente cargados».
Si bien el malware utilizado por los actores de amenazas se considera «mundano» y no particularmente sofisticado, varias de las víctimas de APT también han sido atacadas con el software de vigilancia Pegasus de NSO Group, objeto de una investigación explosiva por parte de Amnistía Internacional, Forbidden Stories y varios medios. puntos de venta en 2021.
Si bien la atribución no es concreta, el equipo dice que la actividad de ModifiedElephant «se alinea claramente con los intereses del estado indio».
«Quedan muchas preguntas sobre este actor de amenazas y sus operaciones; sin embargo, una cosa está clara: los críticos de los gobiernos autoritarios de todo el mundo deben comprender cuidadosamente las capacidades técnicas de quienes buscan silenciarlos», advirtió SentinelLabs. «Un actor de amenazas dispuesto a enmarcar y encarcelar a los oponentes vulnerables es una dimensión críticamente subestimada del panorama de amenazas cibernéticas que plantea preguntas incómodas sobre la integridad de los dispositivos presentados como evidencia».
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0