Así evita ser detectado un grupo de ciberespionaje ligado a Palestina que ejecutaba cadenas de ataques dirigida a gobiernos de Oriente Medio.

A finales de 2021, los analistas de Proofpoint identificaron una compleja cadena de ataques dirigida a gobiernos de Oriente Medio, grupos de reflexión sobre política exterior y una aerolínea próxima al Estado. Durante tres meses, Proofpoint observó tres variaciones sutiles de esta cadena de ataques, y atribuye estas campañas a TA402, un actor comúnmente rastreado como Molerats; se cree que opera en interés de los Territorios Palestinos. Según su investigación, TA402 es una amenaza persistente dirigida a organizaciones y gobiernos de Oriente Medio, que actualiza habitualmente no sólo sus implantes de malware, sino también sus métodos de entrega. Así evita ser detectado un grupo de ciberespionaje ligado a Palestina.

Tras la publicación de la investigación de Proofpoint sobre el TA402 en junio de 2021, TA402 pareció detener sus actividades durante un breve periodo de tiempo, casi con toda seguridad para reequiparse. Los investigadores de Proofpoint creen que utilizó ese tiempo para actualizar sus implantes y mecanismos de entrega; para logarlo usaron el malware denominado NimbleMamba y BrittleBush. TA402 también utiliza regularmente técnicas de geofencing y cadenas de ataque variadas que complican los esfuerzos de detección para los defensores.

Cómo funcionan las campañas

En las campañas observadas recientemente, TA402 utilizó correos electrónicos spear phishing que contenían enlaces que a menudo conducían a malware. El uso de URL’s geo-referenciadas, de Dropbox y luego de redireccionamiento demuestra la determinación de TA402 de mezclarse con el tráfico de correo electrónico legítimo. Todo ello para infectar objetivos con NimbleMamba. Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint comenta al respecto: -«En los últimos meses de 2021, TA402 afinó sus métodos de entrega y su malware en campañas que se dirigían sistemáticamente a entidades de Oriente Medio. La observación directa de Proofpoint de estas campañas reveló una compleja cadena de ataque y nos permitió observar las diferencias de matiz en el último implante del grupo, incluyendo su uso de múltiples guardrails para asegurar que el malware sólo se ejecuta en las máquinas objetivo»-.

Una de las características principales de NimbleMamba es que utiliza un sistema de delimitación geográfica. Con él se asegura de que todas las víctimas infectadas están dentro de la región objetivo de TA402. Además, contiene múltiples capacidades diseñadas para complicar el análisis automatizado y manual; Proofpoint cree que NimbleMamba se está desarrollando activamente, está bien mantenido y está diseñado para su uso en campañas de recopilación de información muy específicas. La compañía atribuye las campañas -desarrolladas entre noviembre de 2021 y enero de 2022-, a TA402 basándose tanto en indicadores técnicos como en los objetivos a los que van dirigidas.

La información técnica indica que los desarrolladores de NimbleMamba operan en interés de los Territorios Palestinos. Proofpoint observó campañas dirigidas a gobiernos de Oriente Medio, grupos de reflexión sobre política exterior y una aerolínea afiliada al Estado. Además, creen que TA402 probablemente opere en apoyo de objetivos palestinos.