Varios actores patrocinados por el Estado, entidades hacktivistas y grupos criminales de China, Irán, Corea del Norte y Rusia han puesto sus miras en el sector de la base industrial de defensa (DIB), según las conclusiones de Google Threat Intelligence Group (GTIG).
La división de inteligencia de amenazas del gigante tecnológico dijo que el ataque adversario al sector se centra en cuatro temas clave: atacar a entidades de defensa que despliegan tecnologías en el campo de batalla en la guerra entre Rusia y Ucrania, acercarse directamente a los empleados y explotar el proceso de contratación por parte de actores norcoreanos e iraníes, el uso de dispositivos y electrodomésticos de vanguardia como vías de acceso inicial para los grupos del nexo con China, y el riesgo de la cadena de suministro derivado de la ruptura del sector manufacturero.
«Muchos de los principales patrocinadores estatales del ciberespionaje y los actores hacktivistas han mostrado interés en vehículos autónomos y drones, ya que estas plataformas desempeñan un papel cada vez más importante en la guerra moderna», dijo GTIG. «Además, la tendencia de ‘evasión de detección’ (…) continúa, ya que los actores se centran en puntos finales e individuos únicos, o llevan a cabo intrusiones de una manera que busca evitar por completo las herramientas de detección y respuesta de puntos finales (EDR)».
Algunos de los actores de amenazas notables que han participado en la actividad incluyen:
- APT44 (también conocido como gusano de arena) ha intentado exfiltrar información de las aplicaciones de mensajería cifrada Telegram y Signal, probablemente después de asegurar el acceso físico a dispositivos obtenidos durante operaciones en tierra en Ucrania. Esto incluye el uso de un script por lotes de Windows llamado WAVESIGN para descifrar y filtrar datos de la aplicación de escritorio de Signal.
- TEMP.Alimañas (también conocido como UAC-0020) ha utilizado malware como VERMONSTER, SPECTRUM (también conocido como SPECTR) y FIRMACHAGENT utilizando contenido atractivo que gira en torno a la producción y el desarrollo de drones, sistemas de defensa anti-drones y sistemas de seguridad de videovigilancia.
- UNC5125 (también conocido como FlyingYeti y UAC-0149) ha llevado a cabo campañas muy específicas centradas en unidades de drones de primera línea. Ha utilizado un cuestionario alojado en Google Forms para realizar reconocimientos contra posibles operadores de drones y distribuido a través de aplicaciones de mensajería malware como MESSYFORK (también conocido como COOKBOX) a un operador de vehículos aéreos no tripulados (UAV) con sede en Ucrania.
- UNC5125 También se dice que aprovechó un malware de Android llamado GREYBATTLE, una versión personalizada del troyano bancario Hydra, para robar credenciales y datos distribuyéndolos a través de un sitio web que suplanta a una empresa militar de inteligencia artificial ucraniana.
- UNC5792 (también conocido como UAC-0195) ha explotado aplicaciones de mensajería segura para apuntar a entidades militares y gubernamentales de Ucrania, así como a individuos y organizaciones en Moldavia, Georgia, Francia y Estados Unidos. El actor de amenazas se destaca por utilizar como arma la función de vinculación de dispositivos de Signal para secuestrar cuentas de víctimas.
- UNC4221 (también conocido como UAC-0185) También ha apuntado a aplicaciones de mensajería segura utilizadas por personal militar ucraniano, utilizando tácticas similares a la UNC5792. El actor de amenazas también aprovechó un malware de Android llamado STALECOOKIE que imita la plataforma de gestión del campo de batalla de Ucrania DELTA para robar cookies del navegador. Otra táctica empleada por el grupo es el uso de ClickFix para entregar el descargador TINYWHALE que, a su vez, elimina el software de administración remota MeshAgent.
- UNC5976un grupo de espionaje ruso que ha llevado a cabo una campaña de phishing entregando archivos de conexión RDP maliciosos que están configurados para comunicarse con dominios controlados por actores que imitan a una empresa de telecomunicaciones ucraniana.
- UNC6096un grupo de espionaje ruso que ha realizado operaciones de entrega de malware a través de WhatsApp utilizando temas relacionados con DELTA para entregar un acceso directo LNK malicioso dentro de un archivo que descarga una carga útil secundaria. Se ha descubierto que los ataques dirigidos a dispositivos Android generan malware llamado GALLGRAB que recopila archivos almacenados localmente, información de contacto y datos de usuario potencialmente cifrados de aplicaciones especializadas en el campo de batalla.
- UNC5114un presunto grupo de espionaje ruso que ha entregado una variante de un malware disponible para Android llamado CraxsRAT haciéndose pasar por una actualización de Kropyva, un sistema de control de combate utilizado en Ucrania.
- APT45 (también conocido como Andariel) se ha dirigido a entidades de fabricación de automóviles, semiconductores y defensa de Corea del Sur con el malware SmallTiger.
- APT43 (también conocido como Kimsuky) Es probable que haya aprovechado la infraestructura que imita a las entidades relacionadas con la defensa alemanas y estadounidenses para implementar una puerta trasera llamada THINWAVE.
- UNC2970 (también conocido como Grupo Lázaro) ha llevado a cabo la campaña Operación Dream Job dirigida a los sectores aeroespacial, de defensa y energético, además de confiar en herramientas de inteligencia artificial (IA) para realizar reconocimientos de sus objetivos.
- UNC1549 (también conocido como Nimbus Mantícora) se ha dirigido a las industrias aeroespacial, de aviación y de defensa en Medio Oriente con familias de malware como MINIBIKE, TWOSTROKE, DEEPROOT y CRASHPAD. Se sabe que el grupo organiza campañas Dream Job al estilo del Grupo Lazarus para engañar a los usuarios para que ejecuten malware o entreguen credenciales con el pretexto de oportunidades de empleo legítimas.
- UNC6446un actor de amenazas del nexo iraní que ha utilizado aplicaciones de creación de currículums y pruebas de personalidad para distribuir malware personalizado a objetivos en el sector aeroespacial y de defensa en los EE. UU. y Medio Oriente.
- APT5 (también conocido como Keyhole Panda y Mulberry Typhoon) se ha dirigido a empleados actuales y anteriores de importantes contratistas aeroespaciales y de defensa con señuelos de phishing personalizados.
- UNC3236 (también conocido como Volt Typhoon) ha llevado a cabo actividades de reconocimiento contra portales de inicio de sesión alojados públicamente de contratistas militares y de defensa de América del Norte, mientras utiliza el marco de ofuscación ARCMAZE para ocultar su origen.
- UNC6508un grupo de amenazas del nexo con China que apuntó a una institución de investigación con sede en EE. UU. a finales de 2023 al aprovechar un exploit REDCap para lanzar un malware personalizado llamado INFINITERED que es capaz de realizar acceso remoto persistente y robar credenciales después de interceptar el proceso de actualización de software de la aplicación.
Además, Google dijo que también ha observado que grupos de amenazas del nexo con China utilizan redes de cajas de retransmisión operativas (ORB) para el reconocimiento de objetivos industriales de defensa, complicando así los esfuerzos de detección y atribución.
«Si bien los riesgos específicos varían según la huella geográfica y la especialización del subsector, la tendencia más amplia es clara: la base industrial de defensa está bajo un estado de asedio constante y multivectorial», dijo Google. «Los actores motivados financieramente llevan a cabo extorsión contra este sector y la base manufacturera más amplia, como muchos de los otros sectores verticales a los que apuntan para obtener ganancias monetarias».
«Las campañas contra los contratistas de defensa en Ucrania, las amenazas o la explotación del personal de defensa, el volumen persistente de intrusiones por parte de actores del nexo con China y el pirateo, las filtraciones y la interrupción de la base de fabricación son algunas de las principales amenazas a esta industria en la actualidad».