Cybereason, compañía líder en protección contra ataques, ha publicado un nuevo informe sobre empresas amenazadas por una operación de ciberespionaje altamente dirigida a multinacionales del sector aeroespacial y de telecomunicaciones. El informe identifica como autor de los ataques a un actor iraní recientemente descubierto, apodado MalKamak, que ha estado operando desde al menos 2018 y hasta hoy era desconocido.
La campaña de ciberespionaje, aún activa, aprovecha un troyano de acceso remoto (RAT) muy sofisticado y no descubierto previamente, apodado ShellClient, que evade las herramientas antivirus y otros dispositivos de seguridad y ataca los servicios de nube pública de Dropbox para lograr el comando y control (C2).
El informe, titulado Operación GhostShell: nuevo virus RAT consigue que las empresas amenazadas sean multinacionales del sector Aeroespacial y de Telecomunicaciones, detalla los ataques ocultos contra empresas de Europa, Estados unidos, Oriente Medio y Rusia. La investigación revela posibles conexiones con varios actores de amenazas patrocinadas por el Estado iraní, como Chafer APT (APT39) y Agrius APT. Este informe llega tras la publicación en agosto del estudio DeadRinger de Cybereason, que descubrió de forma similar múltiples campañas APT chinas dirigidas a proveedores de telecomunicaciones.
“La Operación GhostShell ha revelado un complejo ataque troyano de acceso remoto (RAT) capaz de evitar la detección manteniéndose oculto desde el año 2018, y DeadRinger descubrió una amenaza similar que operaba en silencio desde 2017, lo que nos dice mucho sobre cómo los atacantes avanzados están derrotando continuamente las soluciones de seguridad”, señaló el CEO y cofundador de Cybereason, Lior Div.