Curly COMrades: Nuevo Actor de Amenaza Apunta a Infraestructuras de Georgia y Moldavia

Introducción

En las últimas semanas, analistas de ciberseguridad han identificado una campaña de ciberespionaje dirigida a organismos gubernamentales y entidades estratégicas en Georgia y Moldavia. El actor de amenazas, previamente desconocido y bautizado como Curly COMrades, ha desplegado técnicas avanzadas para obtener acceso persistente a redes corporativas, con el objetivo principal de exfiltrar credenciales y datos sensibles de autenticación. Este artículo desglosa los detalles técnicos del incidente, su impacto, los riesgos asociados y las recomendaciones para mitigar amenazas similares, proporcionando un análisis en profundidad relevante para CISOs, analistas SOC, pentesters y responsables de infraestructuras críticas.

Contexto del Incidente

La campaña atribuida a Curly COMrades se detectó a mediados de 2024, centrada en comprometer redes gubernamentales y de infraestructuras críticas en Georgia y Moldavia. Las investigaciones apuntan a un patrón de ataques persistentes, dirigidos principalmente a los controladores de dominio de entornos Windows, con el objetivo de extraer la base de datos NTDS (NTDS.DIT). Esta base de datos es el principal repositorio de hashes de contraseñas y datos de autenticación en un dominio Active Directory, lo que permite a los atacantes escalar privilegios y moverse lateralmente con facilidad.

El modus operandi observado indica una campaña de largo recorrido, orientada a la obtención de acceso persistente y a la exfiltración de información crítica, más que a la interrupción de servicios o la obtención de beneficios económicos inmediatos.

Detalles Técnicos

Los análisis forenses han identificado varios vectores de ataque y tácticas asociadas con Curly COMrades, alineadas con técnicas del marco MITRE ATT&CK, especialmente en las categorías de “Credential Access” (T1003.003 – NTDS), “Lateral Movement” y “Persistence”.

– **CVE y Exploits**: Aunque no se han publicado CVEs específicos asociados a la campaña, se ha observado el uso de exploits conocidos para vulnerabilidades de escalada de privilegios locales en sistemas Windows Server 2016 y 2019 (por ejemplo, CVE-2021-34527, PrintNightmare), así como la explotación de servicios desactualizados de Active Directory.
– **Herramientas y frameworks**: Los atacantes han empleado herramientas estándar de post-explotación como Mimikatz y Cobalt Strike Beacon para la obtención de credenciales y el establecimiento de canales C2 (Command & Control). Se ha detectado la utilización de scripts customizados en PowerShell y el aprovechamiento de binarios living-off-the-land (LOLBins) para evadir la detección.
– **Indicadores de compromiso (IoC)**: Entre los IoCs destacados figuran conexiones inusuales a puertos SMB (445/TCP), transferencias de archivos voluminosos desde controladores de dominio y la presencia de artefactos de Cobalt Strike en rutas temporales de sistemas comprometidos.

Impacto y Riesgos

La extracción de la base de datos NTDS supone un riesgo crítico. Permite a los atacantes acceder a todos los hashes de contraseñas del dominio, facilitando ataques de pass-the-hash, cracking offline de credenciales y el despliegue de ataques “Golden Ticket” sobre el entorno Kerberos. La persistencia lograda por Curly COMrades podría derivar en filtraciones de información estratégica, suplantación de identidad de usuarios privilegiados y movimientos laterales hacia sistemas críticos.

Las primeras estimaciones apuntan a que al menos un 10% de las infraestructuras gubernamentales de Georgia y Moldavia han experimentado actividad relacionada con estos TTPs, aunque el alcance podría ser mayor dada la sofisticación de las técnicas de evasión empleadas.

Medidas de Mitigación y Recomendaciones

Para contrarrestar este tipo de amenazas, los expertos recomiendan:

– **Actualización y parcheo inmediato** de todos los sistemas Windows, especialmente controladores de dominio, priorizando vulnerabilidades de escalada de privilegios y ejecución remota de código.
– **Monitorización intensiva** de logs de autenticación y tráfico SMB, implementando alertas ante extracciones inesperadas de archivos NTDS.DIT y actividades anómalas de PowerShell.
– **Restricción de privilegios** administrativos y segmentación de redes, minimizando el número de cuentas con acceso privilegiado a los controladores de dominio.
– **Implementación de MFA** (autenticación multifactor) en todos los accesos remotos y privilegiados.
– **Despliegue de honeypots y reglas YARA** para la detección temprana de herramientas como Cobalt Strike y Mimikatz.
– **Auditoría periódica** de contraseñas y hashes presentes en Active Directory, para identificar posibles exposiciones.

Opinión de Expertos

Según David Sánchez, analista senior de amenazas en una multinacional de ciberseguridad: “La extracción de la base de datos NTDS es una técnica recurrente entre actores de alto nivel. Lo preocupante en este caso es la persistencia y sofisticación de Curly COMrades, que combina herramientas legítimas y exploits conocidos, dificultando la detección y erradicación”.

Implicaciones para Empresas y Usuarios

El incidente subraya la importancia de la defensa en profundidad y la gestión activa de credenciales en entornos Windows. Para organizaciones sujetas a GDPR o la directiva NIS2, una brecha de esta naturaleza puede acarrear sanciones económicas significativas, además de daños reputacionales y la exposición de información sensible de empleados y ciudadanos.

Conclusiones

Curly COMrades representa una amenaza avanzada y persistente, enfocada en la extracción de credenciales y el acceso prolongado a redes críticas. La sofisticación de sus TTPs y el uso de herramientas ampliamente disponibles complican su detección. Es fundamental que los equipos de ciberseguridad refuercen la monitorización, el control de privilegios y la protección de sus controladores de dominio para mitigar riesgos presentes y futuros.

(Fuente: feeds.feedburner.com)