Así opera InvisiMole, el grupo de cibercriminales que atenta contra misiones diplomáticas

Quizás no hayan oído hablar de él, pero tengan a buen seguro que es bien conocido por parte de los gobiernos de medio mundo. Se llama InvisiMole y es ni más ni menos que un grupo cibercriminal, activo desde 2013, que ha estado relacionado durante mucho tiempo con ataques a administraciones públicas, operaciones de ciberespionaje y demás hazañas de dudosa calaña. 

Sin ir más lejos, fue documentado por primera vez en una investigación sobre una operación de ciberespionaje en Ucrania y Rusia en la que se usaron dos backdoors para espiar a las víctimas. Y, en su campaña más reciente, el grupo InvisiMole utilizó un conjunto de herramientas actualizadas para atacar a misiones diplomáticas e instituciones militares de Europa del Este entre finales de 2019 y junio de 2020. 

“Al principio nos encontramos esos dos backdoors muy bien equipados, pero faltaba una pieza importante del puzle para entender sus objetivos: no sabíamos cómo los distribuían ni cómo los instalaban en los sistemas”, explica Zuzana Hromcová, investigadora de ESET que ha analizado InvisiMole. 

Esta firma de ciberseguridad ha dado finalmente con la tecla y ha presentado sus resultados sobre InvisiMole esta semana durante su evento anual. En dicho informe, por ejemplo, se relaciona al grupo InvisiMole con el grupo detrás de Gamaredon. Los investigadores descubrieron que el arsenal de InvisiMole solo se despliega una vez que Gamaredon se ha infiltrado en la red de la víctima y, posiblemente, ya cuente con privilegios de administrador.

“Nuestra investigación sugiere que los objetivos considerados importantes por parte de los atacantes pasan a ser controlados desde el malware relativamente sencillo de Gamaredon al malware más avanzado de InvisiMole, con lo que este grupo puede operar de forma creativa sin ser descubierto”, comenta Hromcová. 

Los investigadores de ESET encontraron cuatro cadenas de ejecución diferentes utilizadas por InvisiMole y elaboradas mediante una combinación de código malicioso, herramientas legítimas y archivos ejecutables vulnerables. Para esconder el malware, los componentes de InvisiMole se protegen con cifrado único por cada víctima, asegurando que el payload solo puede ser descifrado y ejecutado en el equipo infectado. El conjunto de herramientas actualizado de InvisiMole también cuenta con un componente nuevo que utiliza técnicas de tunneling DNS para conseguir una comunicación con el servidor de mando y control más sigilosa si cabe.