AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**APT Homeland Justice utiliza más de 100 cuentas de correo secuestradas para espiar a organismos y gobiernos de seis continentes**

admin

### 1. Introducción

En un contexto global en el que la actividad de amenazas persistentes avanzadas (APT) sigue en aumento, un nuevo informe revela que el grupo APT conocido como Homeland Justice ha desplegado una sofisticada campaña de ciberespionaje. Utilizando una red de más de un centenar de cuentas de correo electrónico comprometidas, el grupo ha dirigido ataques coordinados contra entidades gubernamentales, organismos internacionales y empresas privadas repartidas por seis continentes. Este episodio expone no solo la capacidad técnica de los actores, sino la amplitud de su alcance y los retos que plantea la protección de la infraestructura de correo electrónico corporativa a escala global.

### 2. Contexto del Incidente

Homeland Justice, identificado como uno de los grupos APT más activos del último año, ha sido vinculado previamente con campañas de influencia y operaciones de espionaje con motivaciones tanto políticas como económicas. En esta ocasión, el grupo ha recurrido al secuestro de cuentas de correo legítimas como vector principal de sus ataques, una táctica que dificulta la detección y eleva el potencial de éxito de sus campañas de spear-phishing y exfiltración de datos.

El incidente se produce en un momento en que la superficie de ataque asociada a la mensajería electrónica sigue expandiéndose. Según datos recientes de Proofpoint y el informe de ENISA sobre amenazas 2023, el 85% de los ataques dirigidos a empresas europeas comienzan por correo electrónico, lo que refuerza la necesidad de estrategias defensivas robustas.

### 3. Detalles Técnicos

El modus operandi de Homeland Justice en esta campaña se caracteriza por:

– **Secuestro de cuentas**: Mediante ataques de fuerza bruta, credential stuffing y explotación de credenciales filtradas en brechas anteriores, el grupo ha conseguido acceso a más de 100 cuentas de correo legítimas, pertenecientes a empleados de organismos oficiales y empresas de múltiples sectores.
– **TTPs y MITRE ATT&CK**: Se observan técnicas alineadas con los TTPs T1078 (Valid Accounts), T1192 (Spearphishing Link) y T1114 (Email Collection) del framework MITRE ATT&CK. Los atacantes emplean las cuentas secuestradas para enviar correos maliciosos desde dominios legítimos, lo que reduce la tasa de detección por parte de los sistemas antiphishing tradicionales.
– **Indicadores de compromiso (IoC)**: Entre los IoC identificados se incluyen direcciones IP asociadas a servidores de comando y control (C2) en Europa del Este y Asia Central, así como hashes de archivos adjuntos maliciosos (principalmente documentos ofimáticos con macros y enlaces a payloads externos).
– **Exploits y herramientas**: Se ha detectado el uso de frameworks como Cobalt Strike y Metasploit para la post-explotación, así como scripts personalizados en Python y PowerShell para la exfiltración y el movimiento lateral. En algunos casos, se ha explotado la vulnerabilidad CVE-2023-23397 en Microsoft Outlook, lo que ha permitido la ejecución remota de código sin interacción del usuario.

### 4. Impacto y Riesgos

El alcance de la campaña es considerable: organismos en más de 40 países han sido contactados o comprometidos, incluyendo ministerios, agencias regulatorias, entidades financieras y empresas del sector energético y tecnológico. Se estima que al menos un 7% de los correos enviados desde cuentas comprometidas lograron suplantar comunicaciones internas, lo que facilitó el acceso a información sensible y credenciales adicionales.

El riesgo principal reside en la capacidad de los atacantes para moverse lateralmente dentro de las organizaciones, así como en la posible explotación de datos confidenciales exfiltrados para nuevas campañas de ingeniería social, extorsión y operaciones de desinformación. Además, los incidentes pueden derivar en sanciones bajo la GDPR y la futura NIS2, dadas las obligaciones de notificación y protección de datos personales.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de campañas similares, se recomienda:

– **Implementar autenticación multifactor (MFA)** en todos los accesos a correo electrónico y aplicaciones críticas.
– **Monitorizar el uso de cuentas privilegiadas y actividad sospechosa** mediante soluciones SIEM y UEBA.
– **Actualizar y parchear** sistemas de mensajería, especialmente servidores Exchange y clientes Outlook susceptibles a la CVE-2023-23397.
– **Bloquear macros y deshabilitar enlaces externos** en documentos adjuntos.
– **Ejecutar ejercicios regulares de concienciación y simulacros de phishing**.
– **Revisar y reforzar la segmentación de red** para limitar el movimiento lateral post-compromiso.

### 6. Opinión de Expertos

Analistas de Threat Intelligence de empresas como Mandiant y Kaspersky coinciden en que el uso de cuentas legítimas secuestradas representa una evolución significativa en las tácticas de los grupos APT: “No se trata solo de eludir controles técnicos, sino de explotar la confianza inherente entre empleados y departamentos”, señala Juan Manuel Álvarez, CISO en una multinacional energética. “La defensa debe centrarse tanto en la tecnología como en la concienciación y los procesos”, concluye.

### 7. Implicaciones para Empresas y Usuarios

Este incidente pone de manifiesto la necesidad de reforzar la seguridad del correo electrónico y revisar protocolos de autenticación y verificación interna. Las empresas deben prepararse para un escenario en el que los ataques provienen de fuentes aparentemente confiables y donde la detección basada en reputación de dominio resulta insuficiente. El cumplimiento normativo (GDPR, NIS2) exige además una respuesta rápida y transparente ante cualquier brecha, con potenciales sanciones que pueden superar el 4% de la facturación global anual.

### 8. Conclusiones

La campaña de Homeland Justice subraya la sofisticación creciente de los grupos APT y la urgencia de adoptar un enfoque integral de ciberseguridad. La protección debe ir más allá de la tecnología, abarcando también la formación, la detección proactiva y la resiliencia organizacional ante incidentes de gran escala.

(Fuente: www.darkreading.com)