IAmTheKing: ¿quién está detrás del malware SlothfulMedia?

3 noviembre, 2020
3 Compartido 617 Visualizaciones

El 1 de octubre de 2020, la Agencia de Ciberseguridad (CISA) del Departamento de Seguridad Nacional (DHS) norteamericano, difundió información sobre una familia de malware conocida como SlothfulMedia, atribuida a un actor de ciberamenazas muy sofisticado.

Un análisis más detallado del informe ha revelado que Kaspersky llevaba rastreando estas actividades desde junio de 2018 y que había identificado el actor detrás de esta amenaza como “IAmTheKing”. Teniendo en cuenta su actividad, los investigadores identificaron al grupo como un actor patrocinado por un Estado, cuyo objetivo principal era recopilar inteligencia de organizaciones de alto nivel, principalmente en Rusia.

Aunque la información sobre sus actividades se ha hecho pública recientemente, IAmTheKing ha estado muy activo en los últimos años. El actor cuenta con un kit de herramientas en continua evolución, domina las metodologías de pruebas de penetración tradicionales y cuenta con sólidos conocimientos de Powershell -una herramienta para la automatización de tareas y la gestión de la configuración.

En los últimos dos años, los investigadores de Kaspersky lograron descubrir tres familias de malware desarrolladas por el mismo actor de ciberamenazas, que se conocen por los nombres, KingOfHearts, QueenofHearts y QueenofClubs -una familia identificada por la CISA como SlothfulMedia. Las tres familias de malware son puertas traseras -programas que facilitan el acceso remoto al dispositivo infectado. Sin embargo, el kit de herramientas utilizado por el actor de amenazas también incluye un amplio arsenal de scripts Powershell, un dropper de JackOfHearts y una utilidad de captura de pantalla.

Los atacantes recurrieron principalmente a técnicas de spear phishing para infectar con malware los dispositivos de las víctimas y, a continuación, recurrieron a programas de control de seguridad conocidos para comprometer a otras máquinas dentro de la misma red.

Hasta hace muy poco, IAmTheKing se había centrado principalmente en recopilar inteligencia de organizaciones rusas de alto nivel, teniendo entre sus víctimas a entidades de la Administración, contratistas del sector de defensa, agencias de desarrollo público, universidades y compañías energéticas. Sin embargo, en 2020 Kaspersky descubrió incidentes relacionados con IAmTheKing en países del este de Europa y Asia Central. La CISA también ha informado sobre actividades en Ucrania y Malasia. No está claro si los cambios en los destinos objetivo son un indicio de que el actor está adaptando su estrategia o de si su kit de herramientas está siendo utilizado por otros actores.

“IAmTheKing ha estado funcionando durante varios años y sus actividades son muy específicas, aunque su kit de herramientas, a pesar de estar bien desarrollado, no se puede considerar como técnicamente excepcional. Una vez que se ha hecho pública la existencia de este actor de ciberamenazas, cada vez más organizaciones buscarán hacerse con este kit de herramientas. Por ello, hemos querido compartir los datos que hemos recopilado hasta el momento, para fomentar la colaboración y ayudar a otros especialistas en ciberseguridad a desarrollar medidas de protección frente a este actor de amenazas. Es importante señalar, sin embargo, que ahora que la existencia de IAmTheKing es de dominio público, este podría intentar adaptarse y actualizar su kit de herramientas. Por lo tanto, seguiremos investigando y compartiendo información sobre la actividad de este actor de amenazas con nuestros clientes”, ha comentado Ivan Kwiatkowski, investigador senior de seguridad del equipo de análisis e investigación global de Kaspersky (GReAT).

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

52 grandes empresas líderes trabajarán con startups de todo el mundo en la 4ª edición de BIND 4.0
Actualidad
28 compartido1,989 visualizaciones
Actualidad
28 compartido1,989 visualizaciones

52 grandes empresas líderes trabajarán con startups de todo el mundo en la 4ª edición de BIND 4.0

Vicente Ramírez - 11 julio, 2019

  Este año se han incorporado empresas como Coca Cola, Eroski, Grupo Uvesco, Unilever, Angulas Aguinaga, EDP o Avia Ferrovial,…

TA2719: el nuevo actor de amenazas que distribuye troyanos de acceso remoto con señuelos llamativos en varios idiomas
Actualidad
6 compartido1,299 visualizaciones
Actualidad
6 compartido1,299 visualizaciones

TA2719: el nuevo actor de amenazas que distribuye troyanos de acceso remoto con señuelos llamativos en varios idiomas

Aina Pou Rodríguez - 4 septiembre, 2020

Proofpoint ha seguido los pasos de un nuevo actor de amenazas,  denominado TA2719 Se vale de llamativos señuelos con los…

Cerca de 1.000 espectadores en la II Edición del CISO Day
Actualidad
8 compartido2,425 visualizaciones
Actualidad
8 compartido2,425 visualizaciones

Cerca de 1.000 espectadores en la II Edición del CISO Day

Alicia Burrueco - 18 septiembre, 2020

El CISO Day volvió a deslumbrar, esta vez en un formato híbrido. El evento organizado por CyberSecurity News tuvo presencia…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.