Grupo APT28 despliega NotDoor: nueva puerta trasera en Outlook contra empresas de países OTAN

Introducción

Durante las últimas semanas, la amenaza persistente avanzada (APT) de origen ruso conocida como APT28 —también identificada como Fancy Bear o Sofacy— ha intensificado su actividad ofensiva en el ámbito europeo, con especial foco en organizaciones de países miembros de la OTAN. El equipo de inteligencia de amenazas LAB52, de S2 Grupo, ha identificado una nueva herramienta maliciosa empleada en estos ataques: una puerta trasera específica para Microsoft Outlook bautizada como NotDoor. Este descubrimiento revela una evolución significativa en los TTP (tácticas, técnicas y procedimientos) de APT28, orientados a maximizar la persistencia y el sigilo dentro de entornos corporativos.

Contexto del Incidente o Vulnerabilidad

APT28 es una de las unidades más activas y sofisticadas del panorama de ciberamenazas, vinculada al servicio de inteligencia militar ruso (GRU). Sus campañas históricas han estado dirigidas a gobiernos, defensa, medios de comunicación y sectores críticos en Europa y Estados Unidos. Desde principios de 2024, la actividad de este grupo ha mostrado un aumento en la explotación de plataformas de mensajería y correo electrónico, con el objetivo de sortear medidas de protección tradicionales y aprovechar la confianza inherente en sistemas como Microsoft Outlook.

LAB52 ha observado la distribución de NotDoor en diversas empresas de sectores como defensa, energía, transporte y consultoría, principalmente en Europa Occidental. El vector inicial parece ser campañas de spear phishing especialmente dirigidas a empleados con acceso privilegiado.

Detalles Técnicos

NotDoor se presenta como una macro VBA desarrollada específicamente para Microsoft Outlook, lo que le permite operar en segundo plano monitorizando los correos entrantes. Su funcionamiento se basa en la detección de un trigger word o palabra clave incluida en el cuerpo de un correo electrónico. Cuando identifica dicho término, ejecuta una serie de comandos predefinidos que permiten al atacante interactuar con el sistema comprometido.

Hasta la fecha, la campaña no ha sido asociada a un CVE específico, pero se encuadra dentro de técnicas MITRE ATT&CK como T1566 (Phishing), T1204 (User Execution) y T1071.004 (Application Layer Protocol: Email). NotDoor actúa como dropper, permitiendo la descarga de payloads adicionales desde servidores C2 controlados por APT28. Se han documentado indicadores de compromiso (IoC) como direcciones IP de comando y control en dominios recientemente registrados y hashes SHA256 de los scripts maliciosos distribuidos.

El análisis forense muestra que NotDoor puede integrarse con frameworks de post-explotación habituales en la operativa de APT28, como Cobalt Strike, y que hace uso de técnicas de living-off-the-land (LOLBin) para ejecutar comandos en el host sin levantar sospechas.

Impacto y Riesgos

La utilización de NotDoor supone un riesgo elevado para la seguridad de las organizaciones, ya que el acceso persistente a los buzones de correo facilita la exfiltración de información sensible y la escalada lateral dentro de la red corporativa. Los sectores afectados, especialmente aquellos relacionados con defensa y energía, se encuentran en el punto de mira de campañas de espionaje estratégico.

Según estimaciones de LAB52, se ha detectado actividad asociada a NotDoor en al menos un 15% de las empresas del sector defensa en Alemania, Polonia y España, con un coste potencial de recuperación de incidentes superior a los 2 millones de euros por organización afectada. El impacto también alcanza a la reputación y cumplimiento normativo, con posibles sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la nueva Directiva NIS2 sobre ciberseguridad.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a NotDoor y vectores similares, los equipos de seguridad deben:

– Deshabilitar la ejecución de macros en Outlook y restringir el uso de VBA en entornos corporativos.
– Implementar soluciones de EDR/XDR que monitoricen la actividad anómala en los procesos de Outlook.
– Actualizar y parchear regularmente las aplicaciones de Microsoft Office y el propio Outlook.
– Aplicar segmentación de red y privilegios mínimos en cuentas con acceso a información sensible.
– Realizar campañas regulares de formación en concienciación sobre phishing dirigido.
– Revisar los logs de acceso y los mensajes de correo en busca de patrones asociados a palabras clave sospechosas o IoCs conocidos.

Opinión de Expertos

Especialistas en ciberinteligencia, como Javier Candau (CCN-CERT), advierten que “el aprovechamiento de plataformas de correo corporativo por parte de actores estatales representa un escenario evolutivo en el espionaje, donde la persistencia se garantiza a través de canales legítimos y difíciles de monitorizar”. Por su parte, analistas de S2 Grupo destacan que “la modularidad de NotDoor facilita su integración en cadenas de ataque complejas, haciendo imprescindible reforzar la supervisión sobre el tráfico de correo electrónico”.

Implicaciones para Empresas y Usuarios

La aparición de NotDoor subraya la necesidad de revisar las políticas de seguridad en torno a las aplicaciones de ofimática y los sistemas de correo. Las empresas deben considerar la adopción de Zero Trust y procedimientos de threat hunting específicos para identificar este tipo de amenazas. Para los usuarios, la recomendación es evitar la apertura de correos de origen sospechoso y nunca habilitar macros en Outlook sin validación previa.

Conclusiones

La campaña de APT28 mediante NotDoor representa una amenaza avanzada que explota la confianza en Microsoft Outlook, subrayando la importancia de una vigilancia proactiva y una defensa en profundidad. Las organizaciones deben actuar con celeridad, reforzando sus controles y adaptando sus estrategias de respuesta ante incidentes a este nuevo vector de ataque.

(Fuente: feeds.feedburner.com)