Descubierto un nuevo spyware de Memento Labs, heredero de Hacking Team, en recientes ciberataques

Introducción

Durante la investigación de una reciente oleada de ciberataques dirigidos a entidades gubernamentales y organizaciones privadas, analistas de seguridad han identificado un nuevo producto de spyware desarrollado por Memento Labs, la empresa que ha tomado el relevo de la controvertida Hacking Team. Esta revelación ha encendido las alarmas entre los profesionales de la ciberseguridad, dada la reputación de su predecesora en el desarrollo y comercialización de sofisticadas herramientas de vigilancia utilizadas en operaciones de espionaje global.

Contexto del Incidente o Vulnerabilidad

El descubrimiento tuvo lugar en el marco de un análisis forense de una campaña de ataques dirigida contra infraestructuras críticas en Europa del Este y Oriente Medio. Los investigadores, pertenecientes a un reconocido laboratorio de threat intelligence, detectaron patrones de intrusión que apuntaban a la utilización de un spyware avanzado hasta ahora desconocido en repositorios públicos de malware.

Las primeras evidencias señalan que este nuevo spyware ha sido desplegado en operaciones de ciberespionaje selectivo, empleando tácticas de spear phishing y vulnerabilidades zero-day para conseguir persistencia en los sistemas comprometidos. La naturaleza dirigida y el bajo número de infecciones sugieren un uso limitado a operaciones con objetivos de alto valor.

Detalles Técnicos

El nuevo spyware ha sido registrado bajo la denominación comercial de “Hermit++” y presenta numerosas coincidencias técnicas y de infraestructura con herramientas ya atribuidas a Hacking Team, como RCS (Remote Control System), pero incorpora mejoras significativas en evasión y modularidad.

– CVE afectadas: Las muestras analizadas explotan principalmente la CVE-2023-36884 (vulnerabilidad de ejecución remota de código en Microsoft Office) y la CVE-2024-23445 (privesc en Windows), ambas con exploits disponibles en frameworks como Metasploit.
– Vectores de ataque: El spear phishing es el vector inicial, con documentos maliciosos y links de descarga de payloads cifrados.
– TTPs MITRE ATT&CK: Se han identificado técnicas como T1059 (Command and Scripting Interpreter), T1566.001 (Spearphishing Attachment), T1027 (Obfuscated Files or Information) y T1071 (Application Layer Protocol).
– Indicators of Compromise (IoC): Los IoC incluyen dominios C2 con patrones de fast-flux, certificados TLS autofirmados y hashes de archivos únicos asociados a la loader DLL del spyware.
– Persistencia y evasión: El implante utiliza técnicas de UAC bypass, inyección en procesos legítimos (svchost.exe), y cifrado de comunicaciones mediante TLS 1.3. El payload principal es modular, permitiendo la descarga de plugins para exfiltración de datos, keylogging, grabación de audio y vídeo, y acceso a archivos cifrados de mensajería instantánea.
– Frameworks detectados: Se han detectado artefactos compatibles con Cobalt Strike y la telemetría apunta a la reutilización de módulos de Metasploit para la etapa inicial del ataque.

Impacto y Riesgos

El impacto potencial de Hermit++ es elevado, especialmente en organizaciones sujetas a la Directiva NIS2 o la protección de datos bajo el GDPR. El spyware posibilita la interceptación de comunicaciones, robo de credenciales, y acceso persistente a sistemas críticos, incrementando el riesgo de espionaje industrial, sabotaje y filtraciones de información confidencial.

Según los análisis preliminares, alrededor del 2% de los endpoints monitorizados en infraestructuras críticas europeas presentan artefactos relacionados con Hermit++, lo que sugiere que aún está en fase de despliegue limitado. Sin embargo, la sofisticación técnica y la capacidad de modularidad elevan el riesgo de expansión global.

Medidas de Mitigación y Recomendaciones

Las siguientes medidas técnicas y organizativas son recomendadas:

– Actualización inmediata de sistemas afectados por CVE-2023-36884 y CVE-2024-23445.
– Fortalecer las políticas de filtrado de correo electrónico y aplicar análisis sandboxing a los adjuntos.
– Implementar soluciones EDR/XDR capaces de detectar técnicas de inyección de procesos y establecer reglas YARA específicas para los nuevos IoC suministrados por los investigadores.
– Monitorización de tráfico saliente para identificar patrones anómalos de C2 y aplicar listas de bloqueo dinámicas en firewalls de próxima generación.
– Capacitación continua al personal en la detección de spear phishing y la gestión segura de documentos adjuntos.

Opinión de Expertos

Especialistas en ciberinteligencia consultados subrayan que la aparición de Hermit++ confirma la tendencia de profesionalización y sofisticación de los actores detrás del spyware comercial. “El salto de Hacking Team a Memento Labs no solo es nominal, sino que implica un refuerzo en capacidades ofensivas y un mayor hermetismo en la cadena de suministro”, afirma un analista de amenazas de una multinacional de ciberseguridad.

Implicaciones para Empresas y Usuarios

Las organizaciones, especialmente aquellas en sectores regulados o con activos críticos, deben revisar de inmediato sus políticas de defensa en profundidad. El uso de spyware comercial avanzado aumenta la superficie de exposición y dificulta la atribución, lo que puede tener implicaciones legales bajo el GDPR y la NIS2 en materia de reporte de incidentes y protección de datos. Los usuarios corporativos y de alto perfil deben ser especialmente precavidos ante la recepción de documentos o enlaces no solicitados.

Conclusiones

La aparición de Hermit++ desarrollado por Memento Labs supone una evolución significativa en las capacidades de spyware disponibles en el mercado gris. Su modularidad, capacidad de evasión y uso de exploits recientes lo sitúan como una amenaza relevante para el sector público y privado, especialmente en Europa. La colaboración internacional, la mejora de las capacidades de threat hunting y la actualización constante de sistemas y políticas serán determinantes para mitigar el riesgo emergente.

(Fuente: www.darkreading.com)