Symantec desenmascara una campaña de 'ciberespionaje' activa desde 2017

La compañía Symantec informa de haber descubierto una campaña de ciberespionaje lanzada contra organizaciones gubernamentales y verticales de negocios en Oriente Medio desde principios del año 2017 detrás de la cual estaría involucrado el grupo que se hace llamar Leafminer.

El grupo Leafminer intenta infiltrarse en las redes a través del uso de diversas formas de intrusión, aprovechándose de páginas web en riesgo, herramientas de escaneado de vulnerabilidades, intentos de inicio de sesión, etc. Según los investigadores, el grupo buscaría hacerse con datos de correo electrónico, archivos y servidores de bases de datos de sistemas comprometidos.

Durante la investigación llevada a cabo por Symantec, la compañía descubrió un total de 809 objetivos sobre los que se llevaban a cabo escaneados de vulnerabilidades. Entre las regiones que eran objetivo se encuentran Arabia Saudí, los Emiratos Árabes Unidos, Qatar, Kuwait, Bahrein, Egipto, Israel y Afganistán y las principales industrias incluyendo gobiernos fueron el sector financiero y el energético. Según palabras de Einar Oftedal, vicepresidente de análisis de detección en Symantec, “el grupo es sumamente activo y utiliza herramientas públicas que generalmente no despiertan sospechas, además de utilizar su propio malware personalizado”, a lo que añade que imita la técnica watering hole de Dragonfly.

Symantec identifica dos variedades de malware personalizado utilizado pòr el grupo Leafminer: Trojan.Imecab y Backdoor.Sorgu. Conectados a este malware se encuentran verios conjuntos de archivos DLL utilizados para ejecutar comandos específicos en un sistema ya comprometido.

Debido a que la lista de organizaciones objetivo de Leafminer fue escrita en el idioma farsi de Irán y que la web usada para establecer su servidor fue creada por MagicCoder, un notorio identificador de hacker vinculado con los foros de hacking iraníes y el grupo de hackers Sun Army, sugieren que Leafminer tiene su sede en Irán.