AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Aumenta la actividad de BladedFeline: nueva campaña de ciberespionaje dirigida a sectores críticos**

admin

### 1. Introducción

En el panorama actual de amenazas avanzadas, los grupos APT alineados con intereses estatales continúan perfeccionando sus tácticas para el espionaje digital. ESET ha publicado un análisis exhaustivo sobre la última campaña atribuida a BladedFeline, un actor de amenazas vinculado con intereses iraníes y con posibles conexiones operativas con el conocido grupo OilRig (APT34). Esta campaña reciente revela no solo una evolución técnica, sino también una diversificación en los sectores atacados, con especial énfasis en infraestructuras críticas y organizaciones estratégicas.

### 2. Contexto del Incidente o Vulnerabilidad

BladedFeline opera desde al menos 2018, focalizando sus acciones principalmente en Oriente Medio, aunque en los últimos meses se ha detectado actividad en América Latina y Europa del Este. El grupo ha sido históricamente asociado a campañas de ciberespionaje dirigidas a los sectores petrolero, energético y gubernamental. El vínculo con OilRig se fundamenta en coincidencias en TTPs (tácticas, técnicas y procedimientos), superposición de infraestructuras de comando y control (C2), y reutilización de herramientas personalizadas.

En la campaña analizada por ESET, se identificó una oleada de ataques iniciada a finales de 2023, con picos de actividad durante el primer trimestre de 2024. Los principales vectores de intrusión incluyeron spear phishing dirigido y explotación de vulnerabilidades conocidas en aplicaciones web empresariales.

### 3. Detalles Técnicos

El componente central de la campaña es un malware personalizado, identificado como **SardonicCat**, que actúa como backdoor multi-plataforma. Entre los CVEs explotados destacan:

– **CVE-2023-34362** (MOVEit Transfer SQL Injection): BladedFeline aprovechó la ventana de exposición antes de los primeros parches publicados.
– **CVE-2023-23397** (Microsoft Outlook Privilege Escalation): Utilizada para obtener persistencia y movimiento lateral en entornos Windows.

El análisis de TTPs mapea varias técnicas del framework MITRE ATT&CK, entre ellas:

– **Initial Access (T1192, T1566.001):** Spear phishing con archivos adjuntos maliciosos.
– **Execution (T1059.001):** Uso de PowerShell y scripts bash adaptados para sistemas híbridos.
– **Persistence (T1547.001):** Modificación de claves de registro y cron jobs.
– **Command and Control (T1071.001):** Comunicación cifrada sobre HTTP/HTTPS y canales alternativos via DNS tunneling.

Entre los IoCs identificados figuran dominios de C2 como `update-sardonic[.]com`, direcciones IP asociadas en Irán y Europa del Este, y hashes SHA256 del malware principal. Se ha observado el uso de frameworks como **Metasploit** y **Cobalt Strike**, evidenciando una estrategia híbrida que combina herramientas open source y desarrollos propios.

### 4. Impacto y Riesgos

La campaña ha comprometido al menos 18 organizaciones en los sectores energético, transporte y administración pública, con especial foco en la exfiltración de credenciales y documentos confidenciales. El impacto potencial incluye:

– Robo de propiedad intelectual y secretos industriales.
– Riesgo de interrupción operativa en infraestructuras críticas.
– Posible afectación a la cadena de suministro de partners y proveedores.

El alcance regional de la campaña se ha ampliado: un 35% de los ataques detectados han tenido como objetivo organizaciones fuera de Oriente Medio, evidenciando una estrategia de expansión global.

### 5. Medidas de Mitigación y Recomendaciones

Entre las acciones recomendadas para minimizar el riesgo de intrusión destacan:

– **Patching inmediato** de CVEs explotados (especialmente CVE-2023-34362 y CVE-2023-23397).
– Segmentación de red y restricción de privilegios en cuentas de usuario y servicio.
– Implementación de mecanismos avanzados de detección (EDR/XDR) capaces de identificar comportamientos anómalos asociados a TTPs de BladedFeline.
– Concienciación y formación específica en spear phishing para usuarios con acceso a información sensible.
– Revisión periódica de logs y correlación de eventos para identificar posibles IoCs asociados.

### 6. Opinión de Expertos

Analistas de ESET y expertos independientes coinciden en que la sofisticación de BladedFeline muestra una tendencia al uso combinado de exploits públicos y herramientas personalizadas, lo que complica la atribución y la detección temprana. La relación con OilRig sugiere un ecosistema colaborativo dentro de los grupos APT alineados con Irán, compartiendo infraestructuras y know-how. Según el CISO de una importante compañía energética europea: “El uso de ataques dirigidos a la cadena de suministro y la explotación de vulnerabilidades recientes obliga a las empresas a adoptar modelos de seguridad Zero Trust y a reforzar la vigilancia sobre sistemas legacy”.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas reguladas bajo normativas como **GDPR** y la reciente **NIS2**, la exposición a campañas como la de BladedFeline supone riesgos legales, reputacionales y operativos. La obligación de notificación ante brechas y la aplicación de sanciones administrativas incrementan la presión sobre los equipos de seguridad. Los usuarios, por su parte, deben extremar la precaución ante correos sospechosos y mantener actualizados sus dispositivos y aplicaciones.

### 8. Conclusiones

La última campaña de BladedFeline evidencia la capacidad de adaptación y el enfoque selectivo de los grupos APT con respaldo estatal. La combinación de técnicas avanzadas, explotación de vulnerabilidades de día cero y herramientas personalizadas plantea desafíos significativos para los equipos de ciberseguridad. La detección proactiva, la formación continua y la colaboración internacional son claves para mitigar el impacto de estas amenazas.

(Fuente: www.welivesecurity.com)