CactusPete, tambi\u00e9n conocido como Karma Panda o Tonto Tea\u044c, ha mejorado su puerta trasera para centrarse en representantes de los sectores militar y financiero en Europa Oriental con el fin de obtener acceso a informaci\u00f3n confidencial. Adem\u00e1s, la velocidad a la que se crean las nuevas muestras de malware sugiere que el grupo se est\u00e1 desarrollando r\u00e1pidamente, por lo que dichas organizaciones deben estar alerta.<\/p>\n
La ola m\u00e1s reciente de actividad fue detectada por investigadores de Kaspersky en febrero de 2020, cuando descubrieron una versi\u00f3n actualizada de la puerta trasera Bisonal del grupo. Al usar Kaspersky Threat Attribution Engine<\/a>, una herramienta que analiza el c\u00f3digo malicioso para buscar similitudes con el que utilizan los agentes de amenazas conocidos para determinar qu\u00e9 grupo es responsable de un ataque, vincularon esta muestra con m\u00e1s de 300 utilizadas libremente en el mundo.<\/p>\n Las 300 muestras aparecieron entre marzo de 2019 y abril de 2020, aproximadamente 20 muestras por mes, lo que subraya el hecho de que CactusPete se est\u00e1 desarrollando r\u00e1pidamente. En efecto, el grupo ha seguido perfeccionando sus capacidades, pues ha logrado acceso en 2020 a un c\u00f3digo m\u00e1s complejo como es ShadowPad<\/a>.<\/p>\n La funcionalidad de la carga maliciosa sugiere que el grupo anda en busca de informaci\u00f3n altamente confidencial. Una vez instalada en el dispositivo de la v\u00edctima, la puerta trasera Bisonal que emplean permite al grupo iniciar sigilosamente varios programas, terminar procesos, subir, bajar y eliminar archivos, as\u00ed como recuperar una lista de las unidades de disco disponibles. Adem\u00e1s, a medida que los operadores se adentran m\u00e1s en el sistema infectado, instalan detectores de pulsaciones de teclas para recopilar credenciales y descargar malware de escalada de privilegios para obtener gradualmente mayor control sobre el sistema.<\/p>\n No est\u00e1 claro c\u00f3mo se descarg\u00f3 inicialmente la puerta trasera en esta \u00faltima campa\u00f1a. En el pasado, CactusPete se valid\u00f3 principalmente del spear-phishing<\/em> con correos electr\u00f3nicos que contienen archivos adjuntos maliciosos. Si ese archivo adjunto es abierto, el dispositivo queda infectado.<\/p>\n \u201cCactusPete es un grupo APT bastante interesante porque en realidad no es tan avanzado, como tampoco lo es la puerta trasera Bisonal. Su \u00e9xito no proviene de una tecnolog\u00eda avanzada o de t\u00e1cticas complejas de distribuci\u00f3n y ofuscaci\u00f3n, sino de una aplicaci\u00f3n exitosa de t\u00e1cticas de ingenier\u00eda social. Pueden tener \u00e9xito en infectar objetivos de alto nivel porque sus v\u00edctimas hacen clic en los correos electr\u00f3nicos de phishing y abren los archivos adjuntos maliciosos. Este es un gran ejemplo de por qu\u00e9 el phishing sigue siendo un m\u00e9todo tan eficaz para lanzar ataques cibern\u00e9ticos, y por qu\u00e9 es tan importante que las empresas proporcionen a sus empleados capacitaci\u00f3n sobre c\u00f3mo detectar dichos correos electr\u00f3nicos y mantenerse actualizados sobre la inteligencia contra amenazas m\u00e1s reciente, para que puedan detectar a un agente avanzado<\/em>\u201c, comenta Konstantin Zykov, investigador s\u00e9nior de seguridad en Kaspersky.<\/strong><\/p>\n Para proteger sus instituciones contra CactusPete y otras APTs, los expertos de Kaspersky recomiendan:<\/strong><\/p>\n\n