El grupo de ciberataques Arid Viper está de vuelta con una nueva campaña dirigida a organizaciones y activistas palestinos.
El grupo de amenazas persistentes avanzadas (APT), que se cree que está ubicado en Gaza, un área de conflicto y foco de tensión entre Israel y Palestina, ataca a organizaciones en todo el mundo, pero ahora parece estar enfocado en entidades relacionadas con la política palestina.
Arid Viper, también conocido como Desert Falcon, Two-tailed Scorpion o APT C-23, existe desde al menos 2015. En el pasado, el grupo ha sido responsable de ataques de phishing dirigido contra las fuerzas del orden público palestinas, el ejército, la educación establecimientos y la Agencia de Seguridad de Israel (ISA).
El malware de Windows y Android se ha utilizado anteriormente, el último de los cuales se propaga a través de tiendas de aplicaciones falsas. Sin embargo, el malware Delphi se ha destacado mucho en campañas anteriores y todavía parece ser el arma elegida por Arid Viper.
El miércoles, investigadores de Cisco Talos dijeron que la campaña en curso utiliza un implante Micropsia basado en Delphi para atacar a los activistas.
«Las muestras más recientes encontradas por Talos nos llevan a creer que esta es una campaña vinculada a la campaña anterior sobre la que informamos en 2017», dicen los investigadores, y agregan que el enfoque principal de Arid Viper es el ciberespionaje, y los objetivos son seleccionados por los operadores basados en la motivación política de la «liberación de Palestina».
El vector de ataque inicial son los correos electrónicos de phishing, con contenido incluido vinculado a la situación política palestina y generalmente robados de las agencias de noticias. Por ejemplo, un documento señuelo estaba relacionado con la reunificación familiar palestina, publicado en 2021, mientras que otro contenía un registro de preguntas de activistas.
Si una víctima prevista abre uno de estos documentos, el implante se activa, extrayendo una gama de capacidades de troyano de acceso remoto (RAT). El malware recopilará datos del sistema operativo y del antivirus, los exfiltrará al servidor de comando y control (C2) del operador, robará contenido en la máquina, tomará capturas de pantalla y realizará más actividades de vigilancia.
Un temporizador contenido en el implante también establecerá la persistencia en la máquina de destino a través de la carpeta de inicio.
«El uso continuado de los mismos TTP durante los últimos cuatro años indica que el grupo no se siente afectado por la exposición pública de sus campañas e implantes y continúa operando como de costumbre», dice Talos. «Esta completa falta de disuasión los convierte en un grupo peligroso una vez que deciden atacar a una organización o individuo».
En noticias relacionadas esta semana, Talos y Cybereason revelaron tres campañas APT separadas que se cree que son obra de ciberdelincuentes iraníes respaldados por el estado. MuddyWater, Phosphorus y Moses Staff están apuntando a entidades en Turquía, EE. UU., Israel, Europa y Medio Oriente.
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0