Hellsing: La guerra civil de los piratas informáticos

En 2014, Hellsing, un pequeño y técnicamente mediocre grupo ciberespionaje dirigido principalmente a organizaciones gubernamentales y diplomáticas en Asia, fue sometido a un ataque de phishing por parte de otro actor y decidió contraatacar. Según los expertos de Karsperky Lab, esto podría marcar el surgimiento de una nueva tendencia en la actividad cibercriminal: las guerras APT.

El descubrimiento fue realizado por los expertos de Kaspersky Lab durante la investigación de Naikon, un grupo de ciberespionaje también dirigido organizaciones de la región Asia-Pacífico. Los expertos notaron que uno de los objetivos de Naikon había descubierto el intento de infectar sus sistemas con un correo electrónico de phishing que llevaba un archivo malicioso adjunto.

En Karspersky miran la futuro: les preocupa la seguridad de los tecnoimplantes

El receptor (objetivo de los ciberdelincuentes) puso en duda la autenticidad del correo electrónico y no abrió el archivo adjunto. Poco después, el receptor reenvió de vuelta al remitente un correo electrónico que contenía el malware recibido. Esto condujo al descubrimiento del grupo APT Hellsing. El método de contraataque indica que Hellsing quiso identificar al grupo Naikon y reunir información sobre el mismo.

Un análisis más profundo del actor amenaza Hellsing revela un rastro de correos electrónicos phishing lanzados con archivos adjuntos maliciosos diseñados para propagar malware destinado al espionaje entre diferentes organizaciones. Si la víctima abría el archivo adjunto malicioso, su sistema se infectaba con un backdoor personalizado capaz de descargar y cargar archivos, actualización y desinstalación de sí mismo.

La compañía ha detectado y bloqueado el software malicioso Hellsingen Malasia, Filipinas, India, Indonesia y EE.UU, estando la mayoría de las víctimas localizadas en Malasia y Filipinas. Los atacantes también son muy selectivos en cuanto al tipo de organizaciones a las que se dirige, tratando de infectar en su mayoría a entidades gubernamentales y diplomáticas.

"El objetivo del ataque de Hellsing a Naikon en una especie de venganza-cacería estilo "Empire Strikes Back " es fascinante. En el pasado, hemos visto grupos APT atacarse accidentalmente entre sí mientras robaban libretas de direcciones de las víctimas y luego enviaban correos masivos a todos ellos. Sin embargo, teniendo en cuenta la orientación y el origen del ciberataque, parece más que probable que este sea un ejemplo de un ataque APT-on-APT deliberado", afirma Costin Raiu, director del GREAT de Kaspersky Lab.