AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Operación Armored Likho: ciberataques avanzados comprometen agencias gubernamentales y eléctricas en Rusia, Brasil y Kazajistán**

### 1. Introducción

En las últimas semanas, se ha detectado una campaña de ciberataques altamente dirigida que ha logrado infiltrarse en organismos gubernamentales y entidades del sector eléctrico en Rusia, Brasil y Kazajistán. El grupo detrás de estos ataques, identificado por investigadores como «Armored Likho», ha empleado tácticas y herramientas avanzadas para comprometer infraestructuras críticas. Este incidente subraya la creciente sofisticación de las amenazas dirigidas a sectores estratégicos y plantea importantes desafíos para la seguridad nacional y la protección de infraestructuras esenciales.

### 2. Contexto del Incidente

La actividad de Armored Likho fue descubierta tras identificar patrones anómalos de acceso no autorizado y movimientos laterales en redes internas de varias agencias gubernamentales y empresas eléctricas. El grupo parece haber focalizado sus esfuerzos en organizaciones con relevancia estratégica y potencial impacto económico. Los primeros indicios de la campaña se remontan a finales del primer trimestre de 2024, aunque la persistencia y el sigilo de las operaciones sugieren una planificación previa significativa.

Rusia, Brasil y Kazajistán figuran entre las naciones afectadas, todas ellas con sectores energéticos de peso y sensibilidad geopolítica. El ataque pone de manifiesto la exposición de infraestructuras críticas ante actores con capacidad técnica y conocimiento profundo de los entornos industriales OT (Operational Technology).

### 3. Detalles Técnicos

Las investigaciones han vinculado la campaña de Armored Likho a varias vulnerabilidades conocidas, así como a técnicas de explotación de día cero. Entre las principales CVE identificadas se encuentran:

– **CVE-2023-21839**: vulnerabilidad en Oracle WebLogic Server explotada para ejecución remota de código.
– **CVE-2023-38831**: fallo en WinRAR utilizado para distribución de documentos maliciosos en spear-phishing.

En cuanto a los vectores de ataque, el grupo ha mostrado preferencia por spear-phishing dirigido, adjuntando archivos ofuscados para evadir soluciones EDR y antivirus tradicionales. Una vez obtenida la primera persistencia, se ha documentado el uso de herramientas como **Cobalt Strike** y **Metasploit Framework** para movimientos laterales, escalado de privilegios e implantación de backdoors personalizados.

La telemetría forense revela un uso intensivo de TTPs alineados con MITRE ATT&CK, destacando:

– **T1059 (Command and Scripting Interpreter)**
– **T1071 (Application Layer Protocol)**
– **T1566 (Phishing)**
– **T1021 (Remote Services)**
– **T1210 (Exploitation of Remote Services)**

Entre los **Indicadores de Compromiso (IoC)** identificados figuran hashes MD5 de payloads, dominios C2 registrados recientemente y direcciones IP asociadas a proveedores de hosting poco regulados en Europa Oriental y Sudeste Asiático.

### 4. Impacto y Riesgos

Las consecuencias de este ataque trascienden el mero acceso no autorizado. En algunos casos, se ha confirmado la exfiltración de datos sensibles, incluyendo información de infraestructuras críticas, diagramas de red y credenciales administrativas. El acceso a sistemas OT de empresas eléctricas implica un riesgo potencial de sabotaje, interrupciones del suministro energético y daños reputacionales y económicos para los operadores afectados.

Según estimaciones preliminares basadas en fuentes internas y externas, el alcance podría superar el 10% del parque tecnológico de las organizaciones víctimas. El coste económico potencial, considerando interrupciones de servicio y recuperación, podría ascender a decenas de millones de euros.

### 5. Medidas de Mitigación y Recomendaciones

Para contener y mitigar la amenaza de Armored Likho, se recomienda:

– **Actualizar inmediatamente** todos los sistemas afectados por las CVE mencionadas.
– **Auditar logs de acceso** y monitorizar conexiones externas sospechosas, especialmente hacia dominios e IPs identificados como IoCs.
– **Segmentar redes IT y OT**, limitando la exposición de sistemas críticos.
– **Reforzar la formación en ciberseguridad** y la concienciación frente al spear-phishing.
– Aplicar políticas de **least privilege** y rotación de credenciales.
– Desplegar soluciones avanzadas de **detección y respuesta (EDR/XDR)** con capacidades de análisis de comportamiento.
– Realizar simulacros de respuesta a incidentes, especialmente en infraestructuras OT.

### 6. Opinión de Expertos

Especialistas en ciberseguridad industrial destacan la peligrosidad de este incidente. Según Elena Vasilieva, analista de amenazas en Kaspersky, “el paso de Armored Likho hacia infraestructuras críticas marca una escalada en la sofisticación y ambición de los grupos de amenazas persistentes”. Por su parte, David Gómez, consultor de ciberinteligencia, señala que “la utilización combinada de exploits públicos y herramientas como Cobalt Strike pone en evidencia la madurez técnica del grupo”.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas operando en sectores críticos, este incidente es un recordatorio de la necesidad de adaptar los programas de ciberseguridad a las amenazas modernas. La convergencia entre IT y OT, sumada a la presión regulatoria del **RGPD** y la inminente entrada en vigor de la **Directiva NIS2**, obliga a adoptar una defensa en profundidad y a revisar de forma constante los controles internos.

Los usuarios y empleados, por su parte, deben extremar las precauciones ante mensajes sospechosos y contribuir activamente a la protección del entorno corporativo.

### 8. Conclusiones

La campaña de Armored Likho evidencia la profesionalización y especialización de las amenazas avanzadas dirigidas a infraestructuras críticas. La cooperación internacional, la vigilancia activa y la actualización tecnológica son claves para mitigar el impacto de estos ataques. La resiliencia frente a actores como Armored Likho requiere una estrategia integral que combine medidas técnicas, organizativas y de concienciación.

(Fuente: www.darkreading.com)