La empresa de ciberseguridad, ESET, ha observado varios ataques dirigidos exclusivamente contra entidades colombianas y que ha denominado “Operación Spalax”. Los ataques, llevados a cabo mediante troyanos que proporcionan acceso remoto, afectan tanto a entidades gubernamentales como a empresas privadas, especialmente de los sectores energético y metalúrgico, y tienen como finalidad el ciberespionaje.
Los ciberdelincuentes llegan a sus objetivos a través de correos electrónicos con archivos maliciosos, sobre todo mediante un pdf que contiene un enlace sobre el que la víctima pincha y con asuntos como notificaciones sobre test obligatorios de la COVID-19, llamamientos a un tribunal, pago de multas de tráfico o bloqueo de cuentas corrientes. Los archivos descargados suelen estar comprimidos en RAR y contienen un ejecutable alojado en un sitio legítimo como OneDrive o MegaFire.
Los payloads utilizados en la Operación Spalax son troyanos con capacidad de acceso remoto que incorporan capacidades de espionaje: captura de pulsaciones de teclado, capturas de pantalla, secuestro del portapapeles, robo de archivos o capacidades de descarga y ejecución de malware adicional, entre otros.
“ESET ha observado al menos 24 direcciones IP diferentes utilizadas en esta operación durante la segunda mitad de 2020. Probablemente son dispositivos que han sido comprometidos y que actúan como proxy para sus servidores de mando y control. Esta situación, combinada con el uso de servicios de DNS dinámico, significa que la infraestructura de este grupo no es estática. Hemos llegado a ver hasta 70 nombres de dominio activos en este período y cada poco tiempo registran nuevos dominios”, alerta Matias Porolli, uno de los investigadores de ESET que ha analizado Spalax.
El malware con objetivos en entidades colombianas ha crecido en los últimos meses. La situación ha evolucionado desde las primeras campañas observadas por otros investigadores el año pasado, pasando de un puñado de nombres de dominio y servidores de mando y control a una importante campaña basada en infraestructuras muy dinámicas y con cientos de nombres de dominio utilizados desde 2019. Estos ataques, además, comparten algunos TTP con otros publicados en informes anteriores sobre grupos que tienen a Colombia como objetivo, pero son bastante diferentes en algunos aspectos, lo que dificulta su atribución.
