Google reveló que un grupo de espionaje ruso está detrás de una nueva campaña de malware, según la información proporcionada por la empresa.
Esta organización, conocida por llevar a cabo actividades de espionaje a largo plazo contra países de la OTAN, como Estados Unidos y Reino Unido, ahora está utilizando tácticas mejoradas para infectar a sus víctimas con malware que roba datos.
Identificado como «Cold River», el grupo, también conocido como «Callisto Group» y «Star Blizzard», tiene como objetivo principal a individuos y organizaciones involucrados en asuntos internacionales y defensa.
Los investigadores creen que la estrecha relación entre las actividades del grupo y el estado ruso es evidente. Recientemente, dos ciudadanos rusos fueron acusados en Estados Unidos por su conexión con el grupo.
Según el Grupo de Análisis de Amenazas (TAG) de Google, Cold River intensificó su actividad en los últimos meses y está utilizando tácticas nuevas y más disruptivas contra sus víctimas, que incluyen principalmente objetivos en Ucrania, aliados de la OTAN, instituciones académicas y organizaciones no gubernamentales.
Descubrieron que el grupo está utilizando documentos en PDF como cebos para atraer a las víctimas. Estos documentos, entregados desde noviembre de 2022, se disfrazan como artículos de opinión u otras formas de texto, solicitando comentarios desde cuentas falsas.
Cuando la víctima abre el PDF, el texto parece estar cifrado. Si la víctima informa que no puede leer el documento, el hacker enviará un enlace a una utilidad de «descifrado».
Esta utilidad, identificada por los investigadores de Google como una puerta trasera personalizada llamada «SPICA», permite que los invasores tengan acceso persistente a la máquina de la víctima, ejecutando comandos, robando cookies de navegadores y extrayendo documentos.
Los investigadores de Google advierten que el malware SPICA se ha utilizado solo en ataques dirigidos y limitados. Sin embargo, creen que el desarrollo y uso del malware aún están en curso.
Google ha tomado medidas para bloquear la campaña de malware de Cold River, agregando todos los sitios, dominios y archivos identificados a su servicio de Navegación Segura para proteger a los usuarios contra estos ataques.
Este hallazgo de Google se suma a una serie de actividades anteriores del grupo Cold River, que incluyen una operación de intrusión y filtración que resultó en el robo y divulgación de correos electrónicos y documentos de destacados defensores del Brexit en el Reino Unido.