Ciberdelincuentes usan phishing con adjuntos maliciosos para instalar puertas traseras persistentes en el sector defensa ruso y bielorruso

Introducción

Durante los últimos meses, analistas de amenazas han detectado una campaña de ciberataques dirigida específicamente al sector de defensa en Rusia y Bielorrusia. Según informes publicados por Cyble y Seqrite Labs, los atacantes están distribuyendo malware avanzado a través de correos electrónicos de phishing con archivos adjuntos maliciosos. El objetivo es comprometer sistemas críticos e instaurar puertas traseras (backdoors) persistentes que aprovechan herramientas legítimas como OpenSSH y tecnologías de anonimato como Tor, dificultando enormemente la detección y atribución de los ataques.

Contexto del Incidente

El sector de defensa ha sido históricamente uno de los objetivos prioritarios para actores avanzados de amenazas (APT), tanto por el valor de la información que manejan como por el impacto potencial de una brecha. En este caso, la campaña identificada parece estar focalizada en entidades gubernamentales y organizaciones militares rusas y bielorrusas, áreas tradicionalmente expuestas a operaciones de ciberespionaje y sabotaje.

La táctica principal empleada consiste en correos electrónicos de phishing cuidadosamente diseñados, dirigidos a empleados con acceso a sistemas sensibles. Estos emails contienen adjuntos ofuscados, generalmente documentos de Microsoft Office o archivos comprimidos, que explotan vulnerabilidades conocidas o inducen a los usuarios a habilitar macros, facilitando así la ejecución del payload.

Detalles Técnicos

La muestra de malware analizada presenta un enfoque modular y sofisticado. El vector inicial son adjuntos maliciosos en campañas de spear-phishing. Los archivos adjuntos pueden explotar vulnerabilidades como CVE-2017-11882 (Microsoft Equation Editor) o CVE-2021-40444 (Microsoft MSHTML), ambas explotables mediante documentos especialmente manipulados.

Una vez ejecutado el código inicial, el malware descarga y despliega una puerta trasera basada en OpenSSH, una herramienta legítima de administración remota, pero utilizada aquí para establecer canales de comunicación persistentes y encubiertos. Para evadir la monitorización de red, la puerta trasera crea un servicio oculto de Tor personalizado que emplea el protocolo de ofuscación obfs4, dificultando la detección por parte de sistemas de monitorización de tráfico (IDS/IPS) tradicionales.

Los TTPs se alinean con técnicas MITRE ATT&CK como “Spearphishing Attachment” (T1566.001), “Command and Control: Application Layer Protocol” (T1071), y “Remote Access Software” (T1219). Los indicadores de compromiso (IoC) incluyen hashes de los ejecutables, direcciones onion específicas y patrones de tráfico cifrado y ofuscado.

Hasta la fecha, no se ha identificado la explotación de frameworks conocidos como Metasploit o Cobalt Strike en esta campaña concreta, aunque no se descarta su incorporación en fases posteriores para movimiento lateral o escalada de privilegios.

Impacto y Riesgos

La principal consecuencia de esta campaña es la implantación de una puerta trasera persistente y difícil de erradicar en infraestructuras críticas del sector defensa. Los atacantes obtienen acceso remoto, pueden exfiltrar información confidencial, realizar movimientos laterales y potencialmente sabotear operaciones o instalar ransomware como acción secundaria.

A nivel estratégico, el uso de OpenSSH y Tor complica la atribución y la remediación, ya que se aprovechan herramientas y protocolos ampliamente utilizados en entornos legítimos. Además, la persistencia lograda a través de servicios ocultos permite que los atacantes mantengan el acceso incluso después de acciones de respuesta iniciales.

Se estima que el 3-5% de los sistemas expuestos en el sector defensa ruso y bielorruso podrían haber sido comprometidos, según el análisis de telemetría de Cyble. Los daños económicos son difíciles de cuantificar, pero considerando el valor de la información comprometida, podrían ascender a varios millones de euros.

Medidas de Mitigación y Recomendaciones

– Actualización inmediata de todos los sistemas, especialmente Microsoft Office, para mitigar vulnerabilidades explotadas (CVE-2017-11882, CVE-2021-40444 y similares).
– Implementación de políticas de seguridad para deshabilitar macros por defecto y restringir la ejecución de archivos adjuntos sospechosos.
– Monitorización activa de tráfico Tor y protocolos ofuscados (obfs4), así como análisis de logs de OpenSSH para detectar accesos no autorizados.
– Despliegue de soluciones EDR y análisis forense en endpoints potencialmente afectados.
– Formación continua a los empleados sobre técnicas de spear-phishing y concienciación en ciberseguridad.

Opinión de Expertos

Expertos consultados coinciden en la sofisticación de la campaña, destacando el uso de técnicas de evasión avanzadas y la combinación de herramientas legítimas con tecnologías de anonimato. “El uso combinado de OpenSSH y Tor con obfs4 supone un reto considerable para los SOC, ya que dificulta tanto la detección en tiempo real como el análisis forense posterior”, señala un analista senior de Cyble.

Implicaciones para Empresas y Usuarios

Para las organizaciones del sector defensa y sus contratistas, este incidente subraya la necesidad de adoptar una postura Zero Trust y reforzar los controles de acceso, además de cumplir con normativas como GDPR y NIS2. El uso de herramientas legítimas por parte de los atacantes incrementa el riesgo de “false positives” y requiere una mayor inversión en capacidades de threat hunting y análisis de comportamiento.

Conclusiones

La campaña dirigida al sector defensa ruso y bielorruso representa un ejemplo paradigmático de ataques APT modernos, caracterizados por spear-phishing, puertas traseras sofisticadas y técnicas avanzadas de evasión. La combinación de OpenSSH, Tor y obfs4 complica la defensa y exige a las organizaciones reforzar sus estrategias de monitorización, mitigación y formación.

(Fuente: feeds.feedburner.com)