### Campaña de Spear-Phishing Suplanta a la Comisión Europea y la OTAN para Atacar a Personal Diplomático

#### Introducción

En las últimas semanas, se ha detectado una sofisticada campaña de spear-phishing dirigida contra personal diplomático de varios países, usando como señuelo correos electrónicos falsificados que aparentan provenir de la Comisión Europea y la Organización del Tratado del Atlántico Norte (OTAN). Esta operación, que ha levantado preocupación entre los equipos de ciberseguridad gubernamentales y privados, destaca por su alto grado de personalización y su enfoque en objetivos de alto valor, reflejando las tendencias más avanzadas en amenazas persistentes avanzadas (APT).

#### Contexto del Incidente

La campaña fue identificada inicialmente a finales de mayo de 2024 por varios equipos de respuesta ante incidentes (CSIRT) de países miembros de la UE y de la OTAN, tras detectar un incremento inusual de correos dirigidos a embajadas, consulados y organismos internacionales. Los mensajes, redactados en inglés y en ocasiones en idiomas locales, simulaban comunicados oficiales relativos a políticas de seguridad, convocatorias de reuniones y actualizaciones sobre la situación geopolítica en Europa del Este.

El objetivo principal de los atacantes parece ser la obtención de credenciales y el acceso a comunicaciones sensibles, así como la instalación de cargas maliciosas para la exfiltración de datos y la persistencia en los sistemas comprometidos.

#### Detalles Técnicos

La campaña emplea técnicas avanzadas de ingeniería social y utiliza dominios registrados recientemente que imitan a los de la Comisión Europea y la OTAN, como por ejemplo «eu-commission-sec[.]com» o «nato-info[.]org». Los correos incluyen enlaces a páginas de phishing que replican los portales oficiales, solicitando a los usuarios que introduzcan sus credenciales o descarguen documentos aparentemente legítimos.

Se ha identificado la explotación de la vulnerabilidad CVE-2023-23397 (relacionada con Microsoft Outlook), que permite la ejecución de código de manera previa a la autenticación del usuario, así como la utilización de macros maliciosas incrustadas en documentos de Microsoft Office. Los atacantes han empleado frameworks como Metasploit para la generación de payloads compatibles con distintas arquitecturas, y se han observado indicadores de compromiso (IoC) relacionados con Cobalt Strike, utilizado para el movimiento lateral y la persistencia.

En cuanto a las tácticas y técnicas observadas, destacan los siguientes TTPs del framework MITRE ATT&CK:
– **Initial Access (T1566.001):** Phishing con enlaces y archivos adjuntos.
– **Credential Access (T1110):** Fuerza bruta y phishing para robo de credenciales.
– **Command and Control (T1071.001):** Uso de canales HTTP/HTTPS para comunicación con servidores C2.
– **Persistence (T1053.005):** Tareas programadas para reestablecer la conexión tras reinicios.

#### Impacto y Riesgos

De acuerdo con los datos compartidos por los CSIRT, hasta un 12% de los correos han sido abiertos por destinatarios, y en torno al 3% han interactuado con los enlaces maliciosos, lo que ha permitido a los atacantes comprometer varias cuentas de correo y estaciones de trabajo en al menos seis sedes diplomáticas. Dada la naturaleza de la información objetivo, el impacto potencial incluye la filtración de documentos sensibles, acceso a información estratégica y posible manipulación de comunicaciones oficiales.

El riesgo se agrava considerando que muchas de estas entidades operan bajo el marco de la directiva NIS2 y el Reglamento General de Protección de Datos (GDPR), por lo que una brecha podría acarrear sanciones económicas y daños reputacionales considerables.

#### Medidas de Mitigación y Recomendaciones

Las siguientes acciones son recomendadas para mitigar el impacto de esta campaña:
– **Actualización inmediata** de sistemas y aplicaciones, especialmente Microsoft Outlook y Office, asegurando la corrección de la CVE-2023-23397.
– **Bloqueo y monitorización** de dominios sospechosos y análisis de logs de acceso a portales internos.
– **Desactivación de macros** y restricción de la ejecución de scripts en documentos adjuntos.
– **Capacitación continua** de los usuarios, orientada a la detección de intentos de spear-phishing y simulacros periódicos.
– **Despliegue de soluciones EDR** (Endpoint Detection and Response) y correlación de eventos en el SIEM para identificar patrones de movimiento lateral y persistencia.
– **Revisión de políticas de acceso** y uso de autenticación multifactor (MFA) en todos los servicios críticos.

#### Opinión de Expertos

Especialistas en ciberinteligencia subrayan que la campaña refleja una evolución en las TTPs de actores estatales o patrocinados, con un énfasis creciente en la personalización y el uso de señuelos contextuales. “No se trata de ataques masivos, sino de operaciones quirúrgicas que requieren inteligencia previa y un conocimiento profundo de la cadena de mando y los procesos internos de las instituciones”, comenta Javier G., analista de amenazas en una multinacional europea.

#### Implicaciones para Empresas y Usuarios

Si bien la campaña tiene como objetivo principal organismos diplomáticos, las técnicas empleadas pueden ser fácilmente adaptadas a sectores privados, especialmente en empresas que mantienen relaciones contractuales o de consultoría con gobiernos y organismos internacionales. La tendencia apunta a un aumento de campañas de spear-phishing selectivo en los próximos meses, por lo que la vigilancia y la respuesta temprana serán claves para minimizar el impacto.

En el contexto regulatorio, las empresas deben reforzar sus protocolos de notificación de incidentes y garantizar la trazabilidad de los accesos, en línea con las obligaciones impuestas por la NIS2 y el GDPR.

#### Conclusiones

La reciente oleada de ataques de spear-phishing que utiliza señuelos de la Comisión Europea y la OTAN representa un salto cualitativo en la sofisticación de las amenazas dirigidas contra personal diplomático. La combinación de ingeniería social avanzada, explotación de vulnerabilidades conocidas y uso de herramientas ofensivas automatizadas confirma la profesionalización de los actores implicados. La respuesta debe ser igualmente avanzada, combinando tecnología, formación y procesos robustos para anticipar y neutralizar estas amenazas.

(Fuente: www.darkreading.com)