Google Destapa ‘LostKeys’: Nuevo Malware Ruso

Google revela ‘LostKeys’, un sofisticado malware ruso utilizado por el grupo COLDRIVER, vinculado al FSB, para espiar a gobiernos y organizaciones occidentales. Conoce cómo funciona.

Alerta Cibernética: Google Identifica ‘LostKeys’, Herramienta Rusa de Espionaje

El mundo de la seguridad digital está nuevamente en alerta. Google ha anunciado el descubrimiento de «LostKeys», un nuevo y sigiloso malware. Según informes del gigante tecnológico, un grupo respaldado por el estado ruso, conocido como COLDRIVER, ha estado utilizando este malware llamado LostKeys. Su objetivo desde principios de año ha sido espiar a gobiernos occidentales, periodistas, centros de investigación y diversas organizaciones no gubernamentales (ONG). Esta revelación subraya la constante evolución de las tácticas de ciberespionaje y la importancia de la vigilancia continua.

¿Qué es LostKeys y Quién es COLDRIVER?

COLDRIVER no es un actor nuevo en el panorama de las amenazas cibernéticas. En diciembre pasado, el Reino Unido y sus aliados de inteligencia, conocidos como los «Cinco Ojos», ya habían señalado a este grupo. La conexión es directa: COLDRIVER está vinculado al Servicio Federal de Seguridad (FSB) de Rusia. Este vínculo con el FSB es crucial para entender la seriedad detrás de LostKeys y las actividades de este grupo de hackers.

El Grupo de Inteligencia de Amenazas de Google (GTIG, por sus siglas en inglés) fue el primero en detectar LostKeys en enero. La investigación de Google indica que COLDRIVER ha estado implementando este malware ruso en ataques muy selectivos denominados «ClickFix». Estos ataques son, en esencia, elaboradas estafas digitales. Engañan a las personas para que ejecuten scripts de PowerShell sospechosos, demostrando una vez más que la ingeniería social sigue siendo una táctica fundamental en el ciberespionaje.

Una vez que estos scripts de PowerShell se ejecutan en el sistema de la víctima, abren la puerta para la descarga y ejecución de más malware. El objetivo final es la instalación de LostKeys. Google lo describe como un malware de robo de datos basado en Visual Basic Script (VBS). Según el informe de GTIG, LostKeys funciona como una «aspiradora digital». Su función es extraer archivos y directorios específicos del sistema infectado. Además, envía información del sistema y ejecuta procesos de vuelta a los atacantes, dándoles un control significativo y acceso a información sensible.

El Modus Operandi y la Especialización de LostKeys

La forma habitual de operar de COLDRIVER incluye el robo de credenciales de inicio de sesión. Con estas credenciales, acceden a correos electrónicos y listas de contactos. Sin embargo, también se sabe que utilizan otro malware llamado SPICA, diseñado para robar documentos y archivos.

This selective use suggests that LostKeys, as a tool in COLDRIVER’s espionage arsenal, is reserved for cases requiring a discrete approach.

Un Panorama Más Amplio: Los Ataques «ClickFix» y Otros Actores Estatales

Es interesante notar que COLDRIVER no es el único grupo patrocinado por un estado que utiliza ataques del tipo «ClickFix». El submundo cibernético parece haber adoptado esta táctica. Grupos vinculados a Corea del Norte (como Kimsuky), Irán (MuddyWater) e incluso otros actores rusos (como APT28 y UNK_RemoteRogue) han empleado métodos similares en sus recientes campañas de espionaje. De hecho, LostKeys es también parte de este complejo entramado de técnicas avanzadas de infiltración.

COLDRIVER, también conocido por alias como Star Blizzard y Callisto Group, ha estado activo desde al menos 2017. Durante estos años, han perfeccionado sus habilidades en ingeniería social e inteligencia de código abierto (OSINT) para engañar a sus objetivos. Sus blancos son variados y estratégicos: desde organizaciones de defensa y gubernamentales hasta ONG, políticos y periodistas. Los ataques del grupo han visto un aumento, especialmente tras la invasión rusa de Ucrania. Incluso han expandido sus operaciones para incluir instalaciones industriales de defensa e instalaciones del Departamento de Energía de EE. UU.

Respuesta Internacional y la Gravedad de la Amenaza

La comunidad internacional está tomando nota. El Departamento de Estado de EE. UU. ha impuesto sanciones a un par de agentes identificados de COLDRIVER, uno de los cuales se presume es un oficial del FSB. Para subrayar la seriedad con la que se está tomando esta amenaza, las autoridades estadounidenses ofrecen actualmente una recompensa considerable. Hasta 10 millones de dólares por cualquier información que ayude a localizar a otros miembros de este grupo de malware ruso.

Esta recompensa y las sanciones reflejan la creciente preocupación por las actividades de ciberespionaje patrocinadas por estados y el impacto que pueden tener en la seguridad nacional, la estabilidad política y la privacidad de la información. Google descubrió LostKeys, recordándonos que la ciberseguridad es un campo de batalla en constante evolución. Las organizaciones y los individuos deben mantenerse vigilantes, actualizar sus defensas y estar informados sobre las últimas tácticas utilizadas por actores maliciosos. La educación en la identificación de intentos de phishing y la cautela al ejecutar scripts desconocidos son defensas de primera línea cruciales.

La fuente principal de esta información es el informe del Grupo de Inteligencia de Amenazas de Google (GTIG).