Microsoft ha llevado a cabo una investigación sobre una empresa “sospechosa” del sector privado austriaco, llegando a la conclusión de que está proporcionando servicios de seguridad ofensivos ilegales en nombre de los clientes de manera similar a NSO Group y su software espía Pegasus.
DSR Decision Supporting Information Research Forensic (DSIRF), con sede en Viena, se presenta como una empresa de servicios profesionales con clientes en sectores de alto valor, pero las investigaciones han revelado que también presta servicios de spyware y malware a sus clientes.
Según Microsoft, las víctimas hasta ahora incluyen empresas del Reino Unido, Austria y Panamá, y abarcan sectores como la banca, despachos de abogados y consultorías estratégicas.
Se ha observado a la empresa intercalando exploits de día cero en productos de Windows y Adobe para desplegar su malware Subzero, un rootkit capaz de espiar a personas concretas.
Microsoft ha llegado a la conclusión de que se trata de una operación de seguridad ofensiva no autorizada y mercenaria, similar a la de NSO Group, y ha dado al actor de la amenaza el nombre en clave de Knotweed.
El grupo opera en secreto y sólo revela el alcance de sus capacidades a los clientes en reuniones privadas.
No hay pruebas de que sea una auténtica operación de servicios profesionales, como afirma, y también se sospecha que tiene vínculos con el régimen ruso.
Según su página web, la DSIRF tiene su sede principal en Austria, y una oficina en Liechtenstein. Su sección “Acerca de” está redactada en un lenguaje vago que alude a la prestación de servicios de investigación de la información, análisis forense e inteligencia basada en datos. También afirma tener clientes multinacionales de los sectores tecnológico, minorista, energético y financiero.
DSIRF ha estado vinculada a actividades cibernéticas maliciosas desde 2021, cuando varias investigaciones realizadas por medios de comunicación de habla alemana vincularon a la empresa con la venta de servicios de seguridad ofensivos.
Una presentación de DSIRF entregada exclusivamente a los clientes se filtró a la publicación y reveló el conjunto completo de servicios que la empresa ofrecía, según informó inicialmente la publicación Focus.
Según la publicación Netzpolitik, la presentación mencionaba la guerra cibernética, el reconocimiento facial biométrico y el desenmascaramiento de tácticas de guerra de información extranjeras.
Finalmente, se presentó a los clientes el producto de malware Subzero, que según la empresa, en un vídeo de presentación de seis minutos, podía conectarse a las cámaras de vigilancia instaladas en lugares como estaciones de tren y aeropuertos.
Su programa, según los informes, podía conectarse a una base de datos controlada por la DSIRF y procesar las imágenes con datos biométricos, de redes sociales, de antecedentes penales y de pago para ofrecer resultados en tiempo real al controlador.
Según la investigación de Focus, el Ministerio de Finanzas austriaco confirmó que la empresa es propiedad de Peter Dietenberger, un ciudadano alemán con doble nacionalidad en Austria y Suiza.
También se cree que Dietenberger es un “especialista” en las relaciones entre Occidente y Rusia, vinculado a la nomenklatura rusa, y su visado lo identificaba como invitado especial de la administración presidencial.
La presentación supuestamente filtrada iba dirigida a Jan Marsalek, antiguo miembro del consejo de administración y director de operaciones del tristemente célebre procesador de pagos alemán Wirecard. Tras su presunta implicación en el escándalo de Wirecard, se cree que este delincuente de guante blanco buscado internacionalmente se encuentra fugitivo en Moscú bajo la protección del FSB.
El malware ofrecido por la empresa Subzero fue el centro de la investigación de Microsoft. Afirmó que podía desplegarse de diversas maneras, pero en todos los casos aprovechaba una vulnerabilidad de ejecución remota de código (RCE) en Adobe Reader junto con un exploit de escalada de privilegios ya parcheado en Windows (CVE-2022-22047).
