Hablar de InvisiMole es poner el punto de mira sobre un grupo operativo desde el año 2013, cuando sus actividades en Europa del este y rusia fueron detectadas por primera vez. Desde entonces se ha mantenido operativo y, como todas las organizaciones de este tipo que desean persistir con el paso del tiempo, no han dejado de evolucionar y mejorar las herramientas que emplean para llevar a cabo sus campañas. Acciones que, desgraciadamente, han otorgado cierta notoriedad al grupo con el paso del tiempo.
Es precisamente esa evolución de las herramientas tecnológicas en lo que ponemos hoy el ojo, a razón de la publicación por parte de la compañía de ciberseguridad ESET de un completo informe llevado a cabo por sus investigadores, y en el que analizan detalladamente la operativa y las herramientas con las que la organización lleva años poniendo en jaque a todo tipo de organizaciones. Una investigación en la que han podido contar con la muy valiosa colaboración de algunas de las víctimas del grupo.
El principal hallazgo, y que le da un interesante giro al mapa de las organizaciones cibercriminales, es que existe una relación directa entre InvisiMole y Gamaredon, un grupo que se creía independiente pero que, a la vista de las pesquisas realizadas, podría ser en realidad una segunda cara de los mismos operadores, empleada para diversificar sus acciones según el tamaño de las mismas.
Concretamente, el modus operandi señalado por ESET indica que Gamaredon es la punta de lanza de todos los ataques llevados a cabo por la organización, independientemente del tipo de objetivo atacado. Y es cuando la primera fase del ataque ha sido exitosa, cuando se valora a la víctima y, en base a su potencial, se sigue empleando Gamaredon o se da el salto a InvisiMole. Recordemos que este grupo es conocido por ser muy selectivo en sus ataques, con ataques en 2019 a misiones diplomáticas y empresas del sector militar.
Esto nos explica cómo es posible que InvisiMole consiga infiltrarse en ese tipo de entidades, sin que haya constancia de intentos frustrados desde el inicio, dado que en esa primera fase la responsabilidad siempre recae en Gamaredon. Esto permite que la primera pueda operar por debajo del radar, así como que sus responsables puedan realizar distintas pruebas (además de las infiltraciones, claro) sin que nadie, hasta ahora, pudiera establecer una relación entre lo que, pensábamos, eran dos organizaciones independientes.
“Nuestra investigación sugiere que los objetivos considerados importantes por parte de los atacantes pasan a ser controlados desde el malware relativamente sencillo de Gamaredon al malware más avanzado de InvisiMole, con lo que este grupo puede operar de forma creativa sin ser descubierto”, explica Zuzana Hromcová, investigadora de ESET que ha participado en esta investigación.
Durante la investigación, los técnicos de ESET también han descubierto algunas mejoras y novedades en las herramientas empleadas por la organización en los ataques en los que se emplea InvisiMole. Un conocimiento que, combinado con la revelación de que los ataques se inician con Gamaredon, se lo pone un poco más difícil a la organización de cara a futuras campañas, algo que siempre es una buena noticia y algo a celebrar. Algo que, sumado a lo revelado ayer, también por ESET, sobre la Operación In(ter)ception, supone una importante suma de puntos en la lista de éxitos de la compañía.
La entrada InvisiMole: ¿cómo opera esta organización? es original de MuySeguridad. Seguridad informática.