La empresa de ciberseguridad ESET ha descubierto la existencia de un nuevo grupo APT al que ha denominado XDSpy. Según la empresa, estos cibercriminales llevan robando documentos con información sensible de diferentes gobiernos de Europa del Este y los Balcanes al menos desde 2011. Desde entonces, el grupo de espionaje ha comprometido la seguridad de diferentes agencias gubernamentales y empresas privadas. En opinión de Mathieu Faou, investigador de ESET que ha analizado el malware, “el grupo ha llamado poco la atención hasta ahora. La única excepción fue un aviso del CERT bielorruso en febrero de este año”.
Phishing para conseguir información sensible
Los operadores de XDSpy utilizan emails de phishing dirigidos para infectar a sus objetivos. Los diferentes mensajes de correo electrónico utilizados muestran alguna variación: en algunos casos incluían adjuntos y en otros, enlaces a archivos maliciosos. La primera capa del archivo malicioso suele ser un archivo que está comprimido en ZIP o RAR. A finales de junio, los operadores de esta campaña dieron un paso adelante. Aprovecharon una vulnerabilidad en el navegador Internet Explorer, la CVE-2020-0968, que fue solucionada en abril de 2020.
Según Faou, “el grupo se subió al tren de la COVID-19 al menos dos veces en 2020, siendo la última de la que tenemos constancia el mes pasado, con una de sus campañas de phishing”. Y añade: “Como no hemos encontrado ninguna similitud de código con otras familias de malware ni redes existentes, se trata de un grupo desconocido hasta la fecha”.
Los objetivos de XDSpy se encuentran mayoritariamente en Europa del Este y en los Balcanes. Sobre todo, son instituciones gubernamentales, que incluyen ejércitos, Ministerios de Asuntos Exteriores y algunas empresas privadas.
Archivado en: