ESET Research ha descubierto un nuevo grupo de ciberespionaje, MoustachedBouncer. Su nombre se debe a su presencia en Bielorrusia y está alineado con los intereses del gobierno local. Activo desde al menos 2014, el grupo solo tiene como objetivo las embajadas extranjeras, incluidas las europeas, en Bielorrusia.
Desde 2020, lo más probable es que MoustachedBouncer haya sido capaz de realizar ataques de tipo adversario en el medio (AitM) a nivel de ISP, dentro de Bielorrusia, con el fin de comprometer a sus objetivos. El grupo utiliza dos conjuntos de herramientas independientes que ESET ha denominado NightClub y Disco. La investigación fue presentada en exclusiva durante la conferencia Black Hat USA 2023 el pasado 10 de agosto por el investigador de ESET Matthieu Faou.
Según la telemetría de ESET, el grupo tiene como objetivo embajadas extranjeras en Bielorrusia, y ESET ha identificado cuatro países cuyo personal de embajada ha sido atacado: dos de Europa, uno del sur de Asia y uno de África. ESET evalúa que es muy probable que MoustachedBouncer esté alineado con los intereses de Bielorrusia y se especialice en espionaje, específicamente contra embajadas extranjeras en Bielorrusia. MoustachedBouncer utiliza técnicas avanzadas para las comunicaciones de Mando y Control (C&C), incluyendo la interceptación de redes a nivel de ISP para el implante Disco, correos electrónicos para el implante NightClub, y DNS en uno de los plugins NightClub.
Si bien ESET Research rastrea a MoustachedBouncer como un grupo separado, hemos encontrado elementos que hacen que ESET evalúe con baja confianza que está colaborando con otro grupo de espionaje activo, Winter Vivern, que ha atacado a personal del gobierno de varios países europeos, incluidos Polonia y Ucrania, en 2023.
Según la telemetría de ESET, el grupo tiene como objetivo embajadas extranjeras en Bielorrusia, y ESET ha identificado cuatro países cuyo personal de embajada ha sido atacado: dos de Europa, uno del sur de Asia y uno de África. ESET evalúa que es muy probable que MoustachedBouncer esté alineado con los intereses de Bielorrusia y se especialice en espionaje, específicamente contra embajadas extranjeras en Bielorrusia. MoustachedBouncer utiliza técnicas avanzadas para las comunicaciones de Mando y Control (C&C), incluyendo la interceptación de redes a nivel de ISP para el implante Disco, correos electrónicos para el implante NightClub, y DNS en uno de los plugins NightClub.
Si bien ESET Research rastrea a MoustachedBouncer como un grupo separado, hemos encontrado elementos que hacen que ESET evalúe con baja confianza que está colaborando con otro grupo de espionaje activo, Winter Vivern, que ha atacado a personal del gobierno de varios países europeos, incluidos Polonia y Ucrania, en 2023.
Desde 2014, las familias de malware utilizadas por MoustachedBouncer han evolucionado, y un gran cambio se produjo en 2020, cuando el grupo comenzó a utilizar ataques adversary-in-the-middle. MoustachedBouncer opera las dos familias de implantes en paralelo, pero en una máquina determinada, solo se despliega una a la vez. ESET cree que Disco se utiliza junto con los ataques AitM, mientras que NightClub se utiliza para las víctimas donde la interceptación del tráfico a nivel de ISP no es posible debido a una mitigación como el uso de una VPN cifrada de extremo a extremo donde el tráfico de Internet se enruta fuera de Bielorrusia.
«La principal conclusión es que las organizaciones en países extranjeros donde no se puede confiar en Internet deben utilizar un túnel VPN cifrado de extremo a extremo a una ubicación de confianza para todo su tráfico de Internet con el fin de eludir cualquier dispositivo de inspección de red. También deberían utilizar programas informáticos de seguridad actualizados y de alta calidad», aconseja Faou. El implante de NightClub utiliza servicios de correo electrónico gratuitos, concretamente el servicio checo de correo web Seznam.cz y el proveedor ruso de correo web Mail.ru, para filtrar datos. ESET cree que los atacantes crearon sus propias cuentas de correo electrónico, en lugar de comprometer las legítimas.
El grupo de amenazas se centra en robar archivos y monitorizar unidades de disco, incluidas las externas. Las capacidades de NightClub también incluyen la grabación de audio, la toma de capturas de pantalla y el registro de pulsaciones de teclas.
Fuente: ESET