El grupo APT ToddyCat refuerza sus técnicas y compromete correos corporativos con nuevas herramientas de exfiltración

Introducción

El panorama de las amenazas avanzadas persistentes (APT) se encuentra en constante evolución, con grupos que adaptan sus tácticas y herramientas para eludir controles de seguridad cada vez más sofisticados. El equipo de investigación de Kaspersky ha alertado recientemente sobre una significativa evolución en las capacidades del grupo APT ToddyCat, una amenaza activa desde al menos 2020 y asociada principalmente a operaciones de ciberespionaje dirigidas a entidades gubernamentales y grandes corporaciones en Europa y Asia. Los últimos hallazgos indican que ToddyCat ha desarrollado y desplegado nuevas herramientas específicamente diseñadas para acceder de manera encubierta a correos electrónicos corporativos, interceptando contraseñas, cookies y mensajes de Outlook, incluso en entornos altamente monitorizados.

Contexto del Incidente o Vulnerabilidad

ToddyCat es conocido por emplear sofisticadas campañas de spear phishing, explotación de vulnerabilidades en servidores de correo y técnicas de movimiento lateral para comprometer infraestructuras críticas. Durante 2023 y lo que va de 2024, los analistas de Kaspersky han observado un aumento en la actividad de este grupo, caracterizada por el uso de familias de malware personalizadas y el aprovechamiento de vulnerabilidades zero-day en sistemas Microsoft Exchange y Outlook (notablemente CVE-2023-23397 y CVE-2023-28252), ampliando su radio de acción y persistencia en los sistemas afectados.

El principal objetivo de ToddyCat sigue siendo el acceso y exfiltración de información confidencial, con especial énfasis en los buzones de correo electrónico corporativo, una fuente crítica de datos sensibles para organizaciones y gobiernos. Los ataques se han dirigido tanto a entidades públicas como privadas, afectando principalmente a sectores estratégicos como defensa, telecomunicaciones y energía.

Detalles Técnicos

Las nuevas campañas atribuidas a ToddyCat involucran una cadena de ataque compleja compuesta por varias fases e implantaciones modulares. Tras el acceso inicial, que suele lograrse mediante spear phishing con documentos maliciosos de Office o el aprovechamiento de exploits en Outlook y Exchange, los atacantes despliegan herramientas personalizadas para el robo de credenciales y la extracción de datos.

Entre las herramientas más destacadas se encuentra una variante avanzada de loader que utiliza técnicas de Living-off-the-Land (LotL), aprovechando binarios legítimos del sistema operativo para evadir soluciones de EDR y SIEM. Además, se ha identificado el uso de implantes exclusivos para la interceptación de cookies de sesión, archivos PST/OST y credenciales almacenadas en clientes de Outlook, empleando técnicas de scraping de memoria y manipulación de archivos de configuración.

El framework de ataque se apoya en TTPs documentadas en MITRE ATT&CK, especialmente en técnicas como:

– T1086: PowerShell para ejecución de cargas útiles.
– T1003: Dumping de credenciales vía LSASS y scraping de memoria.
– T1114: Exfiltración de datos desde clientes de correo electrónico.
– T1555: Robo de credenciales de navegadores y clientes de correo.

Indicadores de Compromiso (IoC) publicados por Kaspersky incluyen hashes de muestras de malware, dominios de C2 (command & control) y rutas de archivos sospechosos utilizados por los atacantes. Asimismo, se ha documentado la utilización de frameworks como Cobalt Strike y variantes personalizadas de Metasploit para el movimiento lateral y persistencia.

Impacto y Riesgos

El impacto de estas campañas es significativo. Se estima que, desde mediados de 2023, más de un centenar de organizaciones han sido afectadas en Europa y Asia, principalmente en España, Francia, Alemania, India y Vietnam. El compromiso de buzones corporativos permite a los atacantes acceder a información estratégica, planificar movimientos futuros y facilitar ataques de ingeniería social subsecuentes, como BEC (Business Email Compromise).

Desde una perspectiva de cumplimiento normativo, estos incidentes suponen un riesgo elevado de violación de datos personales regulados bajo GDPR y NIS2, con potenciales sanciones económicas que pueden oscilar entre el 2% y el 4% de la facturación anual global de las empresas afectadas.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de compromiso por parte de ToddyCat, se recomienda:

– Aplicar de forma urgente los parches de seguridad para todas las vulnerabilidades conocidas en Microsoft Exchange y Outlook, en particular CVE-2023-23397.
– Monitorizar de manera proactiva la actividad anómala en buzones y el acceso a archivos PST/OST.
– Desplegar soluciones EDR con capacidades avanzadas de detección de comportamiento, así como analizar los IoCs compartidos por los equipos de threat intelligence.
– Implementar políticas de mínimo privilegio y segmentación de red para limitar el movimiento lateral.
– Realizar auditorías periódicas de credenciales y reforzar el uso de autenticación multifactor.

Opinión de Expertos

Expertos de Kaspersky y otros proveedores de ciberseguridad advierten que la profesionalización de grupos como ToddyCat evidencia la necesidad de evolucionar las estrategias defensivas. “La capacidad de ToddyCat para adaptarse y evadir los controles tradicionales demuestra que la seguridad basada únicamente en firmas y reglas está obsoleta. Es imperativo invertir en threat hunting y análisis continuo de telemetría”, señala María López, analista senior en Threat Intelligence.

Implicaciones para Empresas y Usuarios

Las organizaciones deben asumir que el correo electrónico corporativo es un objetivo prioritario para los actores APT y reforzar las medidas de protección no solo a nivel perimetral, sino también en el endpoint y en la concienciación de los empleados. La colaboración con CERTs nacionales y la compartición de inteligencia de amenazas son clave ante un entorno regulatorio cada vez más exigente y un mercado que demanda resiliencia y transparencia ante incidentes.

Conclusiones

La evolución de ToddyCat y su enfoque en el robo de correos corporativos mediante técnicas avanzadas pone de manifiesto la sofisticación y persistencia de las amenazas APT actuales. La detección temprana, la respuesta coordinada y la actualización continua de controles técnicos y organizativos son esenciales para mitigar estos riesgos. El sector debe permanecer alerta ante la rápida mutación de estas campañas y reforzar la cooperación internacional en materia de ciberinteligencia.

(Fuente: www.cybersecuritynews.es)