AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Armored Likho APT intensifica ataques contra entidades gubernamentales y eléctricas con RATs modulares

Introducción

En las últimas semanas, la actividad del grupo de amenazas persistentes avanzadas (APT) conocido como Armored Likho ha experimentado una notable escalada, dirigiendo sus operaciones tanto hacia organismos gubernamentales como hacia compañías del sector eléctrico. Según análisis recientes, este actor está empleando troyanos de acceso remoto (RATs) modulares y herramientas especializadas para el robo de información, en campañas que combinan motivaciones financieras y de ciberespionaje. El incremento de estas acciones subraya la sofisticación y adaptabilidad de Armored Likho, y plantea desafíos significativos a los equipos de ciberseguridad encargados de la protección de infraestructuras críticas.

Contexto del incidente

Armored Likho fue identificado por primera vez en 2022, y desde entonces ha evolucionado rápidamente en sus tácticas, técnicas y procedimientos (TTP). Recientemente, se ha documentado una oleada de ataques coordinados dirigidos principalmente a organismos gubernamentales de Europa del Este y proveedores de servicios eléctricos en Asia Central. Estos ataques han sido observados a través de campañas de phishing altamente dirigidas, en las que se utilizan documentos ofuscados y enlaces maliciosos para el despliegue inicial de malware.

El objetivo de estos ataques es doble: por un lado, la obtención de información confidencial relacionada con operaciones críticas y, por otro, el acceso a recursos financieros a través del robo de credenciales y la manipulación de sistemas de pago internos. El uso de RATs modulares permite a Armored Likho adaptar sus herramientas en tiempo real, facilitando la persistencia y el movimiento lateral dentro de las redes comprometidas.

Detalles técnicos: CVE, vectores de ataque, TTP y IoC

Las investigaciones han identificado que Armored Likho se apoya en múltiples herramientas personalizadas, entre las que destacan dos RATs modulares denominados “LikhoRAT” y “LikhoStealer”. Estas amenazas presentan una arquitectura por módulos que permite la carga dinámica de funcionalidades específicas, incluyendo keyloggers, capturadores de pantallas, exfiltración de archivos y proxies internos para el movimiento lateral.

Vectores de ataque principales:

– Phishing dirigido: Uso de correos electrónicos con documentos maliciosos (ficheros Word con macros y PDFs con exploits integrados).
– Exploits de vulnerabilidades conocidas: Se han registrado intentos de explotación de CVE-2023-23397 (Microsoft Outlook EoP) y CVE-2022-30190 (Follina), aprovechando la falta de actualización en entornos legacy.
– Living-off-the-land binaries (LOLbins): Uso de herramientas nativas como PowerShell y WMI para evadir detección y desplegar payloads adicionales.

TTP MITRE ATT&CK:

– Initial Access (T1566): Phishing con adjuntos maliciosos.
– Execution (T1059): Uso de PowerShell y scripts.
– Persistence (T1547): Modificación de claves de registro y servicios.
– Lateral Movement (T1021): Uso de SMB y RDP.
– Exfiltration (T1041): Transferencia de datos mediante canales cifrados.

Indicadores de compromiso (IoC):

– Hashes de archivos relacionados con LikhoRAT y LikhoStealer.
– Dominios de C2 cifrados mediante DNS tunneling.
– Actividad anómala en los puertos 443 y 8080, relacionada con la exfiltración de datos.

Impacto y riesgos

El impacto de las campañas de Armored Likho es significativo, especialmente en infraestructuras críticas. Se han reportado interrupciones en servicios eléctricos y filtraciones de información sensible en al menos tres ministerios estatales. Según datos preliminares, un 40% de las entidades eléctricas afectadas experimentaron algún tipo de acceso no autorizado, con pérdidas económicas estimadas en más de 12 millones de euros en los últimos seis meses.

Además, la exposición de datos personales y credenciales puede resultar en sanciones conforme al Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, así como en daños reputacionales y pérdida de confianza por parte de clientes y socios.

Medidas de mitigación y recomendaciones

Ante la evolución de las capacidades de Armored Likho, se recomienda:

– Aplicar parches de seguridad de forma inmediata, especialmente para CVEs explotados recientemente.
– Implantar autenticación multifactor (MFA) en todos los accesos remotos y críticos.
– Monitorizar logs de PowerShell y WMI para detectar actividades inusuales.
– Desplegar soluciones EDR/XDR capaces de identificar y bloquear RATs modulares y técnicas de LOLbins.
– Realizar formación continua en concienciación frente al phishing dirigido para todos los usuarios clave.
– Implementar segmentación de red y políticas de acceso mínimo necesario.

Opinión de expertos

Analistas de amenazas de firmas como Mandiant y Kaspersky coinciden en que Armored Likho representa un caso paradigmático de convergencia entre cibercrimen organizado y operaciones de espionaje estatal. “La modularidad de sus herramientas y su capacidad de pivotar entre objetivos financieros y de inteligencia hacen que sea uno de los grupos más peligrosos del panorama actual”, subraya Elena Kovalenko, directora de Threat Intelligence en Kaspersky.

Implicaciones para empresas y usuarios

El sector eléctrico y los organismos gubernamentales no son los únicos en riesgo. El uso de módulos personalizables y la automatización del ciclo de ataque facilitan la expansión a otros sectores estratégicos, como telecomunicaciones o financiero. Las empresas deben revisar sus estrategias de defensa en profundidad, adoptar frameworks como MITRE ATT&CK para la detección proactiva y reforzar los procesos de respuesta ante incidentes.

Conclusiones

Armored Likho ha elevado el listón de la sofisticación en las campañas de ataque contra infraestructuras críticas, combinando motivaciones económicas y de espionaje. La adopción de RATs modulares, el uso de exploits recientes y la integración de técnicas de evasión avanzadas exigen una respuesta coordinada y profesionalizada por parte de los equipos de ciberseguridad. El refuerzo de medidas técnicas y organizativas, junto a la colaboración internacional, será clave para mitigar el impacto de este actor en el futuro inmediato.

(Fuente: www.securityweek.com)