El gobierno filipino es víctima de un nuevo grupo de ciberdelincuentes dedicado a la suplantación de identidad de organismos gubernamentales.

Desaparece un grupo de ciberdelincuentes (como Revil por ejemplo), pero acto seguido aparecen varios más. Esta es la triste realidad a la que deben enfrentarse gobiernos y empresas. La ciberdelincuencia está en auge en la actualidad, propiciado en gran parte por la época pandémica que estamos viviendo. Los graves casos que se están dando ha obligado a empresas y gobiernos a tener que tomar medidas, tanto paliativas como preventivas, para defenderse. A pesar de ello, seguimos viendo cómo surgen nuevos grupos de ciberdelincuente. El último que se suma a la larga lista ha sido descubierto por la empresa de ciberseguridad Proofpoint, y se llama TA2722. Se trata de un grupo bastante activo y con un modus operandi concreto: suplantación de identidad de organismos gubernamentales. Modus operandi que está sufriendo el Gobierno de Filipinas. El gobierno filipino es víctima de un nuevo grupo de ciberdelincuentes.

Varias instituciones gubernamentales de Filipinas han visto suplantada su identidad en una serie de campañas de amenazas a lo largo de este año; todas ellas atribuidas al Grupo TA2722. Entre las instituciones afectadas podemos encontrar: el departamento de salud, la oficina de aduanas o el servicio de empleo en el extranjero. Lamentablemente, no estamos hablando de un caso aislado. En otras campañas relacionadas, los atacantes se hacían pasar por el consulado de Manila en Arabia Saudí o la empresa DHL en Filipinas para dirigirse con mensajes fraudulentos a empresas en Norteamérica, Europa y el sudeste de Asia pertenecientes a sectores como transporte marítimo, logística, energía, finanzas o farmacéuticas, entre otros. Según Proofpoint, TA2722 tiene en su objetivo a organizaciones directa o indirectamente vinculadas con el Gobierno filipino; y sigue un mismo patrón para suplantar direcciones de correo electrónico y enviar señuelos supuestamente en nombre de estas entidades.

Distribución de Troyanos de Acceso Remoto (RAT’s)

En dichas campañas se distribuían troyanos de acceso remoto (RATs) como Remcos o NanoCore. Estos troyanos sirven para recopilar información, robar datos, vigilar/controlar en remoto ordenadores comprometidos o realizar ataques Business Email Compromise. En el caso de Remcos, se trata de una herramienta que puede adquirirse online; en el caso de NanoCore se suele vender en foros para hackers. Ambos son utilizados por numerosos ciberdelincuentes con diferentes técnicas de entrega y señuelos. En las campañas vinculadas a TA2722, los mensajes maliciosos estaban en inglés y contenían URLs de OneDrive a archivos RAR y otros UUE incrustados: Además, se encontraron PDF adjuntos con enlaces maliciosos a archivos .iso que descargaban y ejecutaban malware. También documentos comprimidos de Excel con macros para enviar malware.

Proofpoint ha separado las campañas en dos grupos de amenazas distintos, aunque asociados con una alta probabilidad a TA2722. Ambos se han solapado dirigiéndose a una misma base de clientes, compartiendo además dirección IP de remitente, proveedores de hosting, bloques de red, registradores o dominios para distribuir RATs alojados en la misma infraestructura. Al primer grupo lo denominó “Shahzad73”, basándose en los dominios de mando y control utilizados por los ciberdelincuentes donde venía esa palabra clave. El segundo grupo se identificó como “CPRS” por las siglas del sistema de registro de clientes de la oficina de aduanas filipina a la que solía suplantar, aunque también distribuyó mensajes con supuesta información sobre la pandemia, finanzas y tesorería.