• 2 min de lectura
El malware GoSerpent apunta a gobiernos del sudeste asiático
Kaspersky descubrió GoSerpent, una campaña de malware que apunta a sistemas gubernamentales del sudeste asiático, con robo de datos diferido y vínculos con TetrisPhantom.

Imagen: TechRadar
Kaspersky ha descubierto una campaña de malware de larga duración que apunta a sistemas gubernamentales en el sudeste asiático. Apodada GoSerpent, la operación utiliza una puerta trasera, el troyano de acceso remoto (RAT) Stowaway, y TmcLoader, una herramienta en dos etapas para el robo de datos.
La puerta trasera de GoSerpent se utilizó por primera vez en 2021, según Kaspersky, y permaneció oculta durante años. Sus operadores se basaron en demoras inusualmente largas entre la compromisión inicial y el despliegue de herramientas adicionales.
El robo de datos diferido de GoSerpent
Noushin Shabab, investigadora principal de seguridad en Kaspersky GReAT, dijo que el prolongado tiempo de permanencia de la campaña fue clave para su éxito.
«Lo que destaca de GoSerpent es el tiempo de permanencia deliberado. Normalmente, los atacantes quieren actuar con rapidez una vez que consiguen un punto de apoyo, pero este grupo instala la puerta trasera inicial y espera. Dejan que el polvo se asiente durante semanas antes de desplegar sus herramientas secundarias de exfiltración como TmcLoader. Ese tipo de paciencia es una maniobra calculada diseñada para superar las políticas estándar de retención de registros y las barridas automatizadas de seguridad, lo que dificulta enormemente que los defensores puedan conectar la infección inicial con el posterior robo de datos.»
Esperar semanas antes de lanzar las herramientas secundarias puede dificultar que los defensores vinculen la infección original con el posterior robo de información sensible. También puede permitir a los atacantes superar los períodos estándar de retención de registros y las comprobaciones de seguridad automatizadas.
Kaspersky no pudo atribuir de forma concluyente GoSerpent a un actor de amenaza específico. Sin embargo, los investigadores encontraron similitudes con TetrisPhantom, incluidas las víctimas objetivo, las capacidades técnicas y los métodos de operación.

Recomendado
Hombre de Florida acusado por malware en juegos de Steam que robó criptomonedas
Kaspersky examinó a TetrisPhantom en 2023, cuando se observó que el grupo comprometía unidades USB seguras utilizadas para proporcionar cifrado en el almacenamiento de datos protegidos. Esa campaña también apuntó a organizaciones gubernamentales en la región de Asia-Pacífico, aunque entonces TetrisPhantom se consideraba un actor recién identificado sin vínculos confirmados con otros grupos.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía TechRadar


