DeathStalker APT apunta a las pymes con ciberespionaje



El grupo de piratas informáticos contratados, que opera desde al menos 2012, apunta principalmente a empresas financieras.

Las pequeñas y medianas empresas (PYMES) deberían tener una nueva amenaza persistente avanzada (APT) en su radar colectivo: DeathStalker ha estado apuntando a las PYMES en el sector financiero desde al menos 2012.

Los investigadores de Kaspersky que siguen al grupo desde 2018 informan que DeathStalker se ha dirigido a empresas de todo el mundo. Los atacantes no parecen motivados por ganancias económicas no implementan ransomware ni roban datos de pago. El enfoque son los datos comerciales confidenciales, lo que podría significar que DeathStalker ofrece servicios de piratas informáticos contratados, o sirve como una especie de «intermediario de información» en los círculos financieros, escriben en un nuevo análisis.

El grupo llamó la atención de los investigadores con Powersing, un implante basado en PowerShell. Esta es una de las tres familias de malware vinculadas a la actividad de DeathStalker y la que los investigadores han utilizado para rastrear al grupo desde 2018. Las otras dos familias de malware, Evilnum y Janicab, fueron reportadas por primera vez por otros proveedores de seguridad. Las similitudes de código y la victimología entre las tres familias permitieron a los investigadores conectarlos entre sí «con una confianza media», informan.

DeathStalker utiliza correos electrónicos personalizados de spear-phishing para entregar archivos que contienen archivos maliciosos. Cuando una víctima ejecuta el script, descarga más componentes de World-wide-web para que los atacantes controlen la máquina. Cuando Powersing aterriza en un dispositivo, puede tomar capturas de pantalla y ejecutar scripts de PowerShell. Dependiendo de la solución de seguridad, también puede evadir la detección.

Las empresas víctimas son principalmente entidades privadas en el espacio financiero, que incluyen bufetes de abogados, empresas de consultoría patrimonial, empresas de tecnología financiera y organizaciones similares. En un caso, se vio al grupo apuntando a una entidad diplomática. Se cree que DeathStalker elige a sus víctimas en función del valor percibido o de las solicitudes de los clientes, aunque las investigaciones creen que cualquier empresa financiera, independientemente de su ubicación, podría estar en riesgo.

Leer más detalles aquí.

Quick Hits de Darkish Reading through ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente first de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique