El 1 de octubre de 2020, la Agencia de Ciberseguridad (CISA) del Departamento de Seguridad Nacional (DHS) norteamericano, difundió información sobre una familia de malware conocida como SlothfulMedia, atribuida a un actor de ciberamenazas muy sofisticado.

Un análisis más detallado del informe ha revelado que Kaspersky llevaba rastreando estas actividades desde junio de 2018 y que había identificado el actor detrás de esta amenaza como “IAmTheKing”. Teniendo en cuenta su actividad, los investigadores identificaron al grupo como un actor patrocinado por un Estado, cuyo objetivo principal era recopilar inteligencia de organizaciones de alto nivel, principalmente en Rusia.

Aunque la información sobre sus actividades se ha hecho pública recientemente, IAmTheKing ha estado muy activo en los últimos años. El actor cuenta con un kit de herramientas en continua evolución, domina las metodologías de pruebas de penetración tradicionales y cuenta con sólidos conocimientos de Powershell -una herramienta para la automatización de tareas y la gestión de la configuración.

En los últimos dos años, los investigadores de Kaspersky lograron descubrir tres familias de malware desarrolladas por el mismo actor de ciberamenazas, que se conocen por los nombres, KingOfHearts, QueenofHearts y QueenofClubs -una familia identificada por la CISA como SlothfulMedia. Las tres familias de malware son puertas traseras -programas que facilitan el acceso remoto al dispositivo infectado. Sin embargo, el kit de herramientas utilizado por el actor de amenazas también incluye un amplio arsenal de scripts Powershell, un dropper de JackOfHearts y una utilidad de captura de pantalla.

Los atacantes recurrieron principalmente a técnicas de spear phishing para infectar con malware los dispositivos de las víctimas y, a continuación, recurrieron a programas de control de seguridad conocidos para comprometer a otras máquinas dentro de la misma red.

Hasta hace muy poco, IAmTheKing se había centrado principalmente en recopilar inteligencia de organizaciones rusas de alto nivel, teniendo entre sus víctimas a entidades de la Administración, contratistas del sector de defensa, agencias de desarrollo público, universidades y compañías energéticas. Sin embargo, en 2020 Kaspersky descubrió incidentes relacionados con IAmTheKing en países del este de Europa y Asia Central. La CISA también ha informado sobre actividades en Ucrania y Malasia. No está claro si los cambios en los destinos objetivo son un indicio de que el actor está adaptando su estrategia o de si su kit de herramientas está siendo utilizado por otros actores.

“IAmTheKing ha estado funcionando durante varios años y sus actividades son muy específicas, aunque su kit de herramientas, a pesar de estar bien desarrollado, no se puede considerar como técnicamente excepcional. Una vez que se ha hecho pública la existencia de este actor de ciberamenazas, cada vez más organizaciones buscarán hacerse con este kit de herramientas. Por ello, hemos querido compartir los datos que hemos recopilado hasta el momento, para fomentar la colaboración y ayudar a otros especialistas en ciberseguridad a desarrollar medidas de protección frente a este actor de amenazas. Es importante señalar, sin embargo, que ahora que la existencia de IAmTheKing es de dominio público, este podría intentar adaptarse y actualizar su kit de herramientas. Por lo tanto, seguiremos investigando y compartiendo información sobre la actividad de este actor de amenazas con nuestros clientes”, ha comentado Ivan Kwiatkowski, investigador senior de seguridad del equipo de análisis e investigación global de Kaspersky (GReAT).