Kaspersky investiga una campaña lanzada por un grupo conocido como Transparent Tribe, cuyo objetivo es distribuir el troyano de acceso remoto (RAT), Crimson

Los ataques comenzaron con documentos maliciosos de Microsoft Office que se enviaban a las víctimas mediante el uso de correos electrónicos de «spear-phishing». En tan solo un año, los investigadores han encontrado más de 1.000 objetivos en cerca de 30 países. La investigación también ha revelado nuevos elementos, hasta ahora desconocidos, de Crimson, lo que indicaría que todavía se encuentra en fase de desarrollo. Estas son algunas de las conclusiones de la primera parte de la investigación publicada por Kaspersky.

Transparent Tribe, también conocido como PROJECTM y MYTHIC LEOPARD, es un grupo muy prolífico y conocido en el sector de la ciberseguridad por sus campañas masivas de espionaje. Su actividad comenzó en 2013 y Kaspersky lleva vigilando al grupo desde el año 2016.

Su método favorito de infección es utilizar documentos maliciosos a través de una macro integrada y su principal malware es un RAT personalizado .NET, conocido públicamente como Crimson RAT. Esta herramienta está compuesta por diferentes elementos que permiten al atacante realizar numerosas actividades en los equipos infectados, tales como la gestión de sistemas de archivos remotos y las capturas de pantalla, la vigilancia de audio mediante dispositivos con micrófonos, la grabación de secuencias de vídeo de cámaras web y el robo de archivos de dispositivos extraíbles.

Mientras que las tácticas y técnicas del grupo han permanecido constantes a lo largo de los años, la investigación de Kaspersky ha demostrado que ha estado creando nuevos programas para campañas específicas. Durante la investigación de las actividades del grupo en el último año, se detectó un archivo .NET que fue descubierto por los productos de la compañía como Crimson RAT. Un análisis más exhaustivo ha demostrado que se trataba de un elemento diferente: un nuevo componente Crimson RAT del lado del servidor, utilizado por los atacantes para gestionar las máquinas infectadas. Fue recopilado en dos versiones, en 2017, 2018 y 2019, lo que indica que este software todavía está en desarrollo y el grupo APT trabaja en formas de mejorarlo.

A través de la lista de los elementos utilizados por Transparent Tribe, Kaspersky ha podido observar la evolución del grupo y la forma en que ha intensificado su actividad, ha iniciado amplias campañas de infección, ha desarrollado nuevos instrumentos y ha aumentado su enfoque en Afganistán.

A nivel global, y considerando todos los elementos detectados entre junio de 2019 y junio de 2020, el equipo de investigación de Kaspersky ha encontrado 1.093 objetivos en 27 países, siendo Afganistán, Pakistán, India, Irán y Alemania los países más afectados. 

«Nuestra investigación indica que Transparent Tribe continúa realizando una intensa actividad contra múltiples objetivos. Durante estos últimos 12 meses, hemos podido observar una campaña muy amplia contra objetivos militares y diplomáticos, utilizando una gran infraestructura para apoyar sus operaciones, así como constantes mejoras en su arsenal. El grupo mantiene la inversión en su principal RAT, Crimson, con el fin de realizar actividades de inteligencia y espiar objetivos estratégicos. No esperamos ninguna desaceleración de este grupo en un futuro cercano, por lo que seguiremos vigilando sus actividades», indica Giampaolo Dedola, experto en seguridad de Kaspersky.

En Kaspersky Threat Intelligence Portal se puede acceder a información más detallada sobre los Indicadores de Compromiso relacionados con este grupo, incluyendo hashes de archivos y servidores C2.

Para mantenerse a salvo de esta amenaza, Kaspersky recomienda adoptar las siguientes medidas de seguridad:

• Proporciona a tu equipo SOC acceso a la última información sobre amenazas. 
• Implementa soluciones EDR.
• Además de adoptar una protección básica de terminales, pon en funcionamiento una solución de seguridad de nivel corporativo que detecte amenazas avanzadas en la red desde una fase temprana.
• Proporciona a tu equipo una formación básica en materia de ciberseguridad, ya que muchos ataques dirigidos comienzan por el phishing u otras técnicas de ingeniería social. Realiza un ataque de phishing de simulación para asegurarte de que la plantilla sabe cómo distinguir los correos electrónicos de phishing.