Cloaked Ursa, un grupo de malware, esta ciberatacando las misiones diplomáticas en Ucrania. Así lo ha revelado Unit 42 de Palo Alto Networks, que ha observado casos en los que este grupo utiliza señuelos centrados en los propios diplomáticos más que en los países a los que representan.
Así, se revela que Cloaked Ursa apunta a misiones diplomáticas dentro de Ucrania aprovechando algo que todos los diplomáticos recién colocados necesitan: un vehículo.
“Estamos en un momento convulso de cambios y transformaciones a nivel económico y social. Por ello, desde Palo Alto Networks seguiremos de cerca la rápida evolución de la actividad cibernética relacionada con el conflicto entre Rusia y Ucrania», explica Jesús Díaz Barrero, director de Ingeniería de Sistemas para el Sur de Europa en Palo Alto Networks.
En alerta misiones diplomáticas en Ucrania
amenaza persistente avanzada (APT) que Estados Unidos y el Reino Unido atribuyen públicamente al Servicio de Inteligencia Exterior de Rusia (SVR).
Los investigadores han revelado que Cloaked Ursa tiene como objetivo al menos 22 de las más de 80 misiones extranjeras situadas en Kiev. Aunque no disponen de detalles sobre su tasa de éxito en la infección, se trata de una cifra realmente asombrosa para una operación clandestina llevada a cabo por unaAsí se están ciberatacando misiones diplomáticas en Ucrania
Los hackers del Servicio de Inteligencia Exterior de Rusia, denominados Cloaked Ursa son bien conocidos por atacar misiones diplomáticas en todo el mundo. Para sus intentos de acceso en los últimos dos años han utilizado predominantemente señuelos de phishing con temática de operaciones diplomáticas como los siguientes:
- Notas de voz (comunicaciones diplomáticas informales de gobierno a gobierno)
- Actualizaciones del estado operativo de las embajadas
- Horarios de diplomáticos
- Invitaciones a actos de la embajada
Ataque a diplomáticos a través de un BMW en venta
Recientemente, los investigadores de la Unit 42 han observado una nueva campaña de ataque que utiliza una táctica novedosa. En este caso, los atacantes aprovecharon la venta legítima de un BMW por parte de un diplomático polaco en Kiev, Ucrania, para atacar a diplomáticos en la región.
En abril de 2023, el diplomático polaco envió por correo electrónico un folleto legítimo a varias embajadas, anunciando la venta de un BMW serie 5 en Kiev. Los atacantes rusos vieron esta venta como una oportunidad para aprovechar la confianza depositada en un diplomático de renombre y ofrecer ayuda a los recién llegados.
Según Palo Alto Networks, las misiones diplomáticas siempre son un objetivo valioso para el espionaje. Dado que solo han transcurrido dieciséis meses desde la invasión rusa en Ucrania, es probable que la inteligencia relacionada con Ucrania y los esfuerzos diplomáticos de los aliados sean una alta prioridad para el gobierno ruso.
Las campañas anteriores demuestran que las amenazas persistentes avanzadas (APT, por sus siglas en inglés) cambian constantemente sus enfoques, incluso utilizando técnicas como el spear phishing, con el fin de mejorar su eficacia.