Marc Sureda
El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha detectado una nueva campaña global de ciberataques perpetrada por DeathStalker, un conocido grupo de cibermercenarios. En esta ocasión, los atacantes han utilizado Telegram para distribuir el spyware DarkMe, un troyano de acceso remoto diseñado para sustraer datos confidenciales y obtener control total sobre los dispositivos de las víctimas.
Esta campaña parece haber tenido como objetivo principal a empresas e individuos de los sectores de fintech y comercio. Según Kaspersky, los ataques se han distribuido en más de 20 países, afectando a regiones de Europa, Asia, América Latina y Oriente Medio. Los ciberdelincuentes aprovecharon canales de Telegram enfocados en temas financieros y comerciales para distribuir archivos maliciosos comprimidos, en su mayoría en formatos RAR o ZIP, que contenían scripts dañinos capaces de desplegar el malware en las máquinas de los usuarios.
Innovaciones en los métodos de ataque
A diferencia de los enfoques tradicionales de phishing, los atacantes de DeathStalker han recurrido a plataformas de mensajería como Telegram, y anteriormente Skype, para aumentar la confianza de las víctimas y evitar alertas de seguridad. Este método permite que los archivos maliciosos lleguen a los usuarios con menos restricciones de seguridad en comparación con las descargas web estándar.
Una vez instalado, el malware DarkMe ejecuta una serie de pasos para garantizar su permanencia y dificultar la detección. Los atacantes han mejorado la seguridad operativa eliminando archivos utilizados durante el despliegue y ocultando rastros posteriores, como claves de registro y herramientas de explotación. Estas técnicas complejas subrayan el grado de sofisticación del grupo DeathStalker, activo desde al menos 2018 y especializado en inteligencia competitiva y espionaje financiero.
Quiénes son DeathStalker
DeathStalker, anteriormente conocido como Deceptikons, es un actor de Amenaza Persistente Avanzada (APT) que opera como un grupo de hackers contratados. Aunque no se les ha vinculado con el robo directo de fondos, se cree que recopilan información financiera, empresarial y personal para clientes específicos, dirigidos principalmente a pequeñas y medianas empresas, firmas legales y entidades fintech.
El grupo es conocido por imitar tácticas de otros actores de amenazas, dificultando la atribución directa de sus actividades. Su interés radica en la inteligencia privada, más que en actividades de ciberdelincuencia estándar.
Recomendaciones de protección
Ante la creciente sofisticación de estos ataques, Kaspersky ha compartido recomendaciones específicas para organizaciones y usuarios:
- Utilizar soluciones de ciberseguridad fiables que ofrezcan protección en tiempo real y alerten sobre amenazas detectadas.
- Mantenerse informado sobre nuevas técnicas de ataque mediante blogs especializados en ciberseguridad.
- Capacitar al personal en conocimientos avanzados de ciberseguridad a través de entrenamientos especializados.
- Implementar soluciones avanzadas como Kaspersky Next, que integran capacidades de detección y respuesta (EDR y XDR), adaptadas a organizaciones de cualquier tamaño.
Esta campaña subraya la importancia de una estrategia de seguridad robusta y actualizada, especialmente para las industrias fintech y comercial, donde el valor de los datos y la información sensible es un objetivo prioritario para los ciberdelincuentes.
