En el turbulento mundo de la ciberseguridad, siempre hay nuevos protagonistas emergiendo en escena. Recientemente, se ha identificado un grupo de amenazas con el nombre en clave TA547, que ha puesto en jaque a varias organizaciones alemanas.
Lo preocupante es su método: una sofisticada campaña de phishing que se centra en engañar a las víctimas mediante correos electrónicos falsos sobre facturas.
Lo más intrigante de esta situación es el arma secreta que TA547 ha desplegado: un software malicioso llamado Rhadamanthys. Según los expertos de Proofpoint, esta es la primera vez que este grupo recurre a Rhadamanthys, un programa también utilizado por otros actores cibercriminales.
Pero la sofisticación no termina aquí: TA547 ha desplegado un script de PowerShell, posiblemente generado por un modelo de lenguaje grande (LLM), añadiendo una capa adicional de complejidad a sus ataques.
Desde al menos noviembre de 2017, este grupo ha estado en acción, con un claro objetivo: obtener ganancias financieras a expensas de organizaciones desprevenidas. Utilizan el anzuelo del phishing para distribuir una variedad de malware, desde ZLoader hasta Gootkit, pasando por DanaBot, Ursnif y, sorprendentemente, incluso ransomware como Adhubllka.
Pero TA547 no se detiene ahí. En los últimos años, han evolucionado hasta convertirse en un intermediario de acceso inicial (IAB) en ataques de ransomware, lo que significa que facilitan el acceso a los perpetradores de ransomware a las redes de las víctimas. Además, han implementado trucos de geocercado para limitar sus ataques a regiones específicas, añadiendo un nuevo nivel de sofisticación a sus operaciones.
Luego se infiltrarse con éxito (a menudo junto a software legítimo que la víctima pretende instalar), Rhadamanthys comienza por recopilar datos relevantes del dispositivo.
La información de interés puede incluir (pero no se limita a): nombre del dispositivo, modelo, versión del sistema operativo, arquitectura del sistema operativo, detalles del hardware, software instalado, dirección IP, etc.
El programa Rhadamanthys es capaz de ejecutar determinados comandos PowerShell. También se dirige a archivos de documentos, cuyo robo (dependiendo de la sensibilidad de sus datos) puede causar graves problemas a las víctimas.
Este stealer también tiene como objetivo las carteras de criptomonedas. Intenta extraer las contraseñas/frases de acceso de los criptocarteras para apoderarse de ellas y de los fondos almacenados en ellas.
Hay que tener en cuenta que los desarrolladores de malware suelen mejorar sus creaciones. Por lo tanto, las posibles iteraciones futuras de Rhadamanthys podrían dirigirse a una gama más amplia de datos (por ejemplo, credenciales de inicio de sesión y/o información relacionada con las finanzas de varios navegadores y aplicaciones, etc.) o tener funcionalidades adicionales u otras.
En resumen, la presencia de malware de tipo stealer como Rhadamanthys en los dispositivos puede provocar graves problemas de privacidad, importantes pérdidas económicas e incluso el robo de la identidad. TA547 representa una amenaza en constante evolución en el panorama de la ciberseguridad, utilizando tácticas cada vez más sofisticadas para alcanzar sus objetivos.
Su reciente incursión con Rhadamanthys y el uso de scripts de PowerShell generados por LLM son solo una muestra de su ingenio y determinación para eludir las defensas de las organizaciones. Para mantenerse a salvo, las empresas deben estar alerta y contar con medidas de seguridad robustas para protegerse de estos peligros emergentes en línea.
"Los puntos finales pueden protegerse de anuncios maliciosos a través de políticas de grupo que restringen el tráfico proveniente de las redes publicitarias principales y menos conocidas", afirmó Jérôme Segura, investigador principal de amenazas de Malwarebytes.