Las empresas marítimas y de logística en el sur y sudeste de Asia, el Medio Oriente y África se han convertido en el objetivo de un grupo avanzado de amenaza persistente (APT) denominada Sidewinder.
Los ataques, observados por Kaspersky en 2024, se extendieron por Bangladesh, Camboya, Djibouti, Egipto, los Emiratos Árabes Unidos y Vietnam. Otros objetivos de interés incluyen centrales nucleares e infraestructura de energía nuclear en el sur de Asia y África, así como de telecomunicaciones, consultas, empresas de servicios de TI, agencias de bienes raíces y hoteles.
En lo que parece ser una expansión más amplia de su huella de la victimología, Sidewinder también ha dirigido a entidades diplomáticas en Afganistán, Argelia, Bulgaria, China, India, Maldivas, Ruanda, Arabia Saudita, Turquía y Uganda. La orientación de la India es significativa ya que el actor de amenaza se sospechaba anteriormente de origen indio.
«Vale la pena señalar que Sidewinder trabaja constantemente para mejorar sus conjuntos de herramientas, mantenerse a la vanguardia de las detecciones de software de seguridad, extender la persistencia en las redes comprometidas y ocultar su presencia en sistemas infectados», dijeron los investigadores Giampaolo Dedola y Vasily Berdnikov, describiéndolo como un «adversario altamente avanzado y peligroso».
Sidewinder fue anteriormente objeto de un análisis extenso por parte de la compañía de seguridad cibernética rusa en octubre de 2024, documentando el uso del actor de amenaza de un conjunto de herramientas modular posterior a la explotación llamado Stealerbot para capturar una amplia gama de información confidencial de hosts comprometidos. BlackBerry también destacó la orientación del grupo de piratería del sector marítimo en BlackBerry en julio de 2024.
Las últimas cadenas de ataque se alinean con lo que se ha informado anteriormente, con los correos electrónicos de phishing de lanza actuando como un conducto para entregar documentos atrapados en el grupo que aprovechó una vulnerabilidad de seguridad conocida en el editor de la ecuación de Microsoft Office (CVE-2017-11882) para activar una secuencia de varios escenarios, que a su vez, emplea a .net descarga nombrado ModuleInstaller a finales de la lanza a finales.
Kaspersky dijo que algunos de los documentos del señuelo están relacionados con las centrales nucleares y las agencias de energía nuclear, mientras que otros incluyeron contenido que hizo referencia a infraestructuras marítimas y varias autoridades portuarias.
«Están monitoreando constantemente las detecciones de su conjunto de herramientas por soluciones de seguridad», dijo Kaspersky. «Una vez que se identifican sus herramientas, responden generando una versión nueva y modificada del malware, a menudo en menos de cinco horas».
«Si se producen detecciones de comportamiento, Sidewinder intenta cambiar las técnicas utilizadas para mantener la persistencia y los componentes de carga. Además, cambian los nombres y rutas de sus archivos maliciosos».