Este grupo se dedica a espionaje de todo tipo de organizaciones militares, gubernamentales y diplomaticas alineadas con la OTAN

Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha observado actividad reciente del grupo de ciberdelincuentes TA473, conocido públicamente como “Winter Vivern”, que se dedica al espionaje de organizaciones militares, gubernamentales y diplomáticas alineadas con la OTAN e implicadas en la guerra entre Rusia y Ucrania.

El TA473 realiza campañas de phishing para entregar payloads de PowerShell y JavaScript, así como campañas recurrentes de recolección de credenciales. Según la investigación de Proofpoint, estos ciberdelincuentes tienen a organizaciones europeas como objetivo desde 2021, pero no es hasta finales del año pasado cuando empiezan a dirigirse también a funcionarios de Estados Unidos. Sin embargo, el inicio de la guerra en Ucrania provoca que se centren en objetivos que son expertos en aspectos de la política o la economía europeas relacionados con las regiones afectadas. Cabe destacar que tanto los señuelos de ingeniería social como las organizaciones suplantadas suelen referirse a Ucrania en el contexto del conflicto durante estos ataques.

Desde febrero de este año, se ha rastreado una nueva amenaza avanzada persistente (APT) que explota una vulnerabilidad no parcheada de Zimbra, por la que el grupo TA473 consigue acceder a los emails de funcionarios europeos y estadounidenses. Utilizan herramientas de escaneado como Acunetix para identificar portales de correo web sin parches pertenecientes a estas organizaciones e identificar métodos viables para atacar a las posibles víctimas.

Tras el reconocimiento inicial, los ciberdelincuentes envían correos de phishing que en el cuerpo contienen URLs maliciosas que abusan de dicha vulnerabilidad para ejecutar payloads JavaScript. Además, parecen pasar mucho tiempo estudiando los correos electrónicos de sus objetivos y escribiendo payloads a medida que les permitan robar nombres de usuario, contraseñas y almacenar tokens de sesión activa y CSRF a partir de cookies.

El enfoque y la persistencia de TA473 en escanear y explotar vulnerabilidades sin parches son la clave de su éxito. En lugar de desarrollar herramientas y payloads más genéricas, invierten tiempo y recursos para comprometer objetivos específicos. Por estos motivos, los expertos de Proofpoint recomiendan encarecidamente parchear todas las versiones de Zimbra Collaboration utilizadas en los portales de correo web de acceso público, especialmente entre las entidades gubernamentales europeas. Además, se aconseja restringir los recursos de dichos portales para evitar que grupos como TA473 reconfiguren y diseñen scripts personalizados capaces de robar credenciales e iniciar sesión en las cuentas de los usuarios.

“Llevamos aproximadamente dos años siguiendo la actividad del TA473 y lo que ha permanecido constante es su persistencia y dedicación. Este grupo ha sido tenaz en sus ataques contra funcionarios estadounidenses y europeos, así como contra personal militar y diplomático en Europa. Desde finales de 2022, TA473 ha invertido una gran cantidad de tiempo en estudiar los portales de correo electrónico de las entidades gubernamentales europeas y escanear la infraestructura pública en busca de vulnerabilidades; todo ello en un esfuerzo por obtener acceso a los correos electrónicos de las personas estrechamente involucradas en asuntos gubernamentales y en la guerra entre Rusia y Ucrania”,concluye Michael Raggi, investigador de amenazas en Proofpoint.