Promethium, el grupo de amenazas también conocido como StrongPity, ha sido rastreado en una nueva oleada de ataques. Esto se hace a través de una amplia lista de instaladores troyanos que abusan de la popularidad de las aplicaciones legítimas.
Esta amenaza de seguridad no es nueva, comenzó su actividad en el año 2002. El grupo de amenazas Promethium Advanced Persistent Threat (APT) ha sido expuesto una y otra vez. Los investigadores de seguridad y equipos de derechos civiles la han descubierto en múltiples ocasiones.
Promethium, un ataque que podría crecer en las próximas semanas
Típicamente, Promethium se ha centrado en objetivos ubicados en Turquía y Siria, aunque el grupo también ha estado trabajando en Italia y Bélgica en el pasado.
En informes nuevos e independientes, los investigadores de Cisco Talos y BitDefender han revelado no sólo nuevos países en la lista de éxitos. También un arsenal mejorado diseñado para comprometer las máquinas de las víctimas.
Talos ha rastreado aproximadamente 30 nuevos servidores de comando y control (C2) pertenecientes a Promethium. Vinculados a una forma evolucionada del malware del grupo, StrongPity3, que también se cree que está vinculado al impulso actual.
Para ocultar las actividades del spyware, BitDefender dice que la red C2 que el equipo rastreó tiene tres capas de infraestructura. Incluido el uso de servidores proxy, VPN y direcciones IP que reciben datos reenviados. En total, el equipo localizó 47 servidores con diferentes funcionalidades.
Según Talos, la lista de países objetivo ahora incluye Colombia, India, Canadá y Vietnam. El informe de BitDefender señala objetivos situados cerca de la frontera entre Turquía y Siria, así como Estambul, que el equipo dice que «aplica la idea de que esta amenaza podría estar involucrada en el conflicto geopolítico entre Turquía y la comunidad kurda».
Más software suplantado
Con el fin de infectar a más víctimas, el APT ha reforzado su kit de herramientas. A través del uso de nuevos archivos de configuración troyanos diseñados para desplegar el spyware StrongPity3. Estos incluyen una versión en turco de Firefox, VPN PRO, DriverPack, y 5kPlayer, pero puede haber otros.
Los archivos troyanos instalarán la aplicación legítima en una máquina comprometida, junto con el malware. De esta manera se trata de evitar la detección y para evitar la activación de sospechas en la víctima cuando su software esperado no se materializa.
Al examinar los instaladores vinculados a las amenazas se ve algo muy curioso. Estos instaladores tienen una marcada tendencia de trabajo normal. Esto podría sugerir que se han contratado desarrolladores de pago.
Las principales diferencias entre StrongPity3 y la versión anterior, StrongPity2, son un cambio de libcurl a winhttp al realizar solicitudes C2 y un mecanismo de persistencia convertido de una clave del Registro en un servicio. Los últimos patrones de ataque del APT siguen la tendencia de vigilancia, junto con la exfiltración de cualquier archivo de Microsoft Office detectado en una máquina comprometida.
Un ataque inicial desconocido
Mientras que el equipo de Talos no pudo rastrear el vector de ataque inicial, los investigadores dicen que los archivos podrían llegar a través de un ataque watering hole o interceptación de solicitudes en el camino. Con un ISP realizando una redirección HTTP, como lo describe CitizenLab en un informe de 2018 sobre las actividades de Promethium.
El informe de CitizenLab documenta el uso de dispositivos Sandvine/Procera Networks Deep Packet Inspection (DPI) para interceptar el tráfico y entregar malware en Turquía y Siria, así como para llevar a cabo la publicidad maliciosa y para extraer encubiertamente criptomonedas en todo Egipto.
«Promethium ha sido resistente a lo largo de los años», dice Talos. «Sus campañas han sido expuestas varias veces, pero eso no fue suficiente para hacer que los actores detrás de él los hicieran para que se detuvieran. El hecho de que el grupo no se abstenga de lanzar nuevas campañas incluso después de ser expuesto muestra su determinación de cumplir su misión».
