El equipo de investigación de Proofpoint, empresa de ciberseguridad y cumplimiento normativo, ha identificado a un nuevo grupo de ciberdelincuentes bastante activo, TA2721, que envía mensajes fraudulentos por correo electrónico en español a empleados de multinacionales y otras empresas de menor tamaño con sede en Estados Unidos, Europa y Suramérica. Su principal objetivo es distribuir un troyano de acceso remoto (RAT) conocido como Bandook, pero poco utilizado en el cibercrimen.
En las campañas analizadas, si bien el punto de mira está repartido entre compañías de numerosos sectores —fabricación, automoción, alimentación y bebidas, medios de comunicación y entretenimiento, banca, seguros o agricultura—, los atacantes suelen dirigirse a un grupo reducido de individuos con apellidos comunes en español, como Pérez, Castillo u Ortiz. Estos reciben un email cuyo cebo responde a asuntos relacionados con pagos —”presupuesto”, “cotización” o “recibo”— enviado desde una dirección de Gmail o Hotmail. De ahí viene precisamente el curioso apodo con el que Proofpoint llama a los ciberdelincuentes TA2721: “bandidos calientes” (por “hot” de Hotmail).
El pasado enero los investigadores de Proofpoint comenzaron a rastrear a este grupo capaz de entregar desde abril distintas amenazas por correo electrónico a la semana. Sin embargo, se trata de campañas de bajo volumen con menos de 300 mensajes cada una y capacidad para impactar en menos de un centenar de organizaciones a la vez. En sus mensajes, TA2721 incita a los usuarios a abrir un PDF que contiene una URL y contraseña incrustadas que, al hacer clic, conducen a un archivo RAR cifrado que instala el malware Bandook. Otra de las conclusiones es que este grupo tiende a utilizar la misma infraestructura de mando y control (C2) durante semanas o meses.
Email fraudulento con un PDF a modo de cebo relacionado con supuestos pagos. Imagen: Proofpoint.
Pese a su disponibilidad y antigüedad de uso, Proofpoint no ha observado a ningún otro actor de amenazas que utilice actualmente este malware. De hecho, desde 2015, solo se han registrado alrededor de 40 campañas que distribuyen Bandook, y las perpetradas por TA2721 en 2021 representan más del 50% de la actividad observada. Desde la compañía prevén que este grupo continuará utilizando señuelos, cadenas de infección y contraseñas similares a los de estas campañas con un conjunto limitado de variantes del malware Bandook mientras rota a través de dominios C2.
