Los ataques APT se desplazan hacia el sudeste asiático

En el primer trimestre del año, la actividad de amenazas persistentes (APT) se ha desplazado hacia Asia con una variedad de ataques en Corea del Sur y Japón, según el último informe elaborado por Kaspersky.  La compañía ha detectado campañas creativas y, en ocasiones, de bajo presupuesto que han establecido su presencia junto a actores conocidos como CactusPete y Lazarus.

Asimismo, se espera un aumento del interés por las plataformas móviles como medio de ataque y distribución de malware. Kaspersky ha compartido recientemente informes sobre varias campañas centradas en ataques móviles, como el de tipo watering hole, LightSpy, dirigido a usuarios Hong Kong y que infectaba dispositivos iOS y Android, así como una campaña de espionaje de Android denominada PhantomLance, dirigida a objetivos del sudeste asiático. Cabe destacar que ambas utilizaron con éxito diversas plataformas online, desde foros y redes sociales hasta la tienda de aplicaciones Google Play, lo que demuestra un enfoque inteligente de la distribución de malware.

Los actores APT que tienen como objetivo Asia no son los únicos que desarrollaron implantes móviles. Por ejemplo, TransparentTribe llevó a cabo una campaña con un nuevo módulo llamado "USBWorm", dirigida a usuarios de Afganistán e India, en la que desarrolló un nuevo implante diseñado para infectar dispositivos Android. El malware utilizado es una versión modificada de Android "AhMyth" Android RAT, una pieza de malware de código abierto disponible en GitHub.

Además, diferentes grupos de APT han utilizado la pandemia COVID-19 para llamar la atención de las víctimas, pero esto no ha supuesto un cambio significativo en cuanto a técnicas, tácticas y procedimientos, aparte del uso de un tema popular para sacar provecho de los usuarios vulnerables. El tema fue utilizado por actores de APT como Kimsuky, Hades y DarkHotel.