DuneQuixote: La nueva amenaza de ciberespionaje que preocupa a entidades gubernamentales

Investigadores de Kaspersky alertan sobre la campaña DuneQuixote dirigida a entidades gubernamentales

(26/Abr/2024 – web) Panamá.- Una nueva amenaza de ciberespionaje ha sido descubierta por investigadores de Kaspersky, quienes han revelado detalles sobre la campaña DuneQuixote, dirigida inicialmente a entidades gubernamentales en el Medio Oriente y que se ha expandido a nivel global, abarcando regiones como APAC, Europa y Norteamérica.

La campaña DuneQuixote, detectada por primera vez en febrero de 2024, utiliza más de 30 muestras de dropper de malware para infiltrarse en sistemas gubernamentales y recopilar datos sensibles. Lo que hace que DuneQuixote sea especialmente desafiante de detectar es la incorporación de fragmentos de poemas en español en el código del malware, una técnica que mejora su persistencia y dificulta la detección por parte de métodos tradicionales.

Según los investigadores, los droppers iniciales del malware se disfrazan como archivos de instalación manipulados de una herramienta legítima llamada Total Commander. Estos droppers, que han sido empleados en la campaña, contienen fragmentos variables de poemas en español, lo que complica la identificación del malware.

Una vez que el malware se infiltra en los sistemas objetivo, descarga cargas útiles adicionales en forma de una puerta trasera llamada CR4T. Estas puertas traseras, desarrolladas en C/C++ y GoLang, permiten a los atacantes acceder de forma remota a las máquinas comprometidas.

Sergey Lozhkin, investigador principal de seguridad en el Equipo Global de Investigación y Análisis de Kaspersky, ha destacado la adaptabilidad de los actores detrás de la campaña: «Las variaciones del malware muestran la adaptabilidad y el ingenio de los actores de amenazas detrás de esta campaña. Por el momento, hemos descubierto dos implantes de este tipo, pero sospechamos firmemente de la existencia de más».

La telemetría de Kaspersky ha identificado una víctima en Medio Oriente desde febrero de 2024, mientras que se han producido múltiples subidas del mismo malware a un servicio de escaneo de malware semi-público a finales de 2023, lo que indica una propagación activa del malware en diferentes partes del mundo.

Para evitar ser víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:

• Proporcionar a su equipo de SOC acceso a la inteligencia de amenazas más reciente (TI). El Portal de Inteligencia de Amenazas de Kaspersky es un único punto de acceso para la TI de la empresa, que proporciona datos e información sobre ciberataques recopilados por Kaspersky durante más de 20 años.
• Capacitar a su equipo de ciberseguridad para enfrentar las últimas amenazas dirigidas con la Formación en línea de Kaspersky desarrollada por expertos de GReAT.
• Para la detección, investigación y remediación oportuna de incidentes a nivel de endpoint, implementar soluciones EDR como Kaspersky Endpoint Detection and Response.
• Además de adoptar protección de endpoint esencial, implementar una solución de seguridad corporativa que detecte amenazas avanzadas a nivel de red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.
• Dado que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social, introducir formación en conciencia de seguridad y enseñar habilidades prácticas a su equipo, por ejemplo, a través de Kaspersky Automated Security Awareness Platform.

La campaña DuneQuixote, que se encuentra en curso, representa una seria amenaza para la seguridad cibernética global, y los investigadores continúan monitoreando de cerca su evolución.