Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware ApolloShadow

Malware ApolloShadow

Por Mezo en Software malicioso
Traducir a:

ApolloShadow es una sofisticada cepa de malware implementada en campañas de ciberespionaje llevadas a cabo por un actor de amenazas conocido como Secret Blizzard. Este grupo, que se cree forma parte del Servicio Federal de Seguridad (FSB) de Rusia, está asociado con varios otros nombres clave, como ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug y Wraith. El malware se ha utilizado activamente en operaciones dirigidas a entidades sensibles en Moscú desde al menos 2024, y hay fuertes indicios de que estas campañas se expandirán aún más.

Una amenaza personalizada: origen y capacidades de ApolloShadow

ApolloShadow es una herramienta maliciosa personalizada diseñada para el espionaje. Su implementación está vinculada a campañas dirigidas a instituciones diplomáticas y otras organizaciones de alto valor, en particular las que dependen de los servicios de internet y telecomunicaciones rusos. El malware se propaga mediante técnicas avanzadas de adversario en el intermediario (AiTM), donde los atacantes interceptan la comunicación entre la víctima y los servicios legítimos.

En las últimas campañas de ApolloShadow, la técnica AiTM se implementó a nivel de proveedor de servicios de internet (ISP). Las víctimas eran redirigidas a través de un portal cautivo diseñado para imitar el comportamiento legítimo de Windows. Al activarse el Indicador de Estado de Conectividad de Prueba de Windows, en lugar de acceder a una página de verificación estándar, el usuario era redirigido a un dominio controlado por los atacantes. Esta redirección generaba un mensaje que animaba al usuario a instalar un certificado raíz fraudulento, a menudo camuflado en programas de seguridad de confianza, para iniciar la cadena de infección.

Violando la seguridad: cómo ApolloShadow compromete los dispositivos

La instalación del certificado raíz es el momento clave que otorga a ApolloShadow acceso al sistema. Una vez activo, realiza varias operaciones:

  • Recopila información del dispositivo y de la red, incluidas las direcciones IP.
  • Intentos de obtener privilegios administrativos mediante un falso mensaje de Control de Cuentas de Usuario (UAC). En algunos casos, el instalador se llamaba "CertificateDB.exe".
  • Muestra ventanas emergentes engañosas que indican que se están instalando certificados.

Tras obtener privilegios elevados, el malware permite detectar el dispositivo infectado en la red local. A continuación, intenta debilitar las defensas del sistema modificando la configuración del firewall y habilitando el uso compartido de archivos. Para eludir la seguridad del navegador:

  • Los navegadores basados en Chromium confían automáticamente en el certificado malicioso.
  • Sin embargo, Firefox requiere cambios de configuración adicionales por parte del malware para evitar su detección.

ApolloShadow también garantiza el acceso a largo plazo mediante la creación de una cuenta de usuario administrativa persistente denominada 'UpdatusUser', que utiliza una contraseña codificada y que no caduca.

Infiltración profunda: lo que permite ApolloShadow

Se sospecha que ApolloShadow permite ataques de eliminación de TLS/SSL. Estos ataques obligan a los navegadores a conectarse sin cifrado seguro, lo que permite al malware monitorear la actividad de navegación y potencialmente recopilar información confidencial, como tokens y credenciales de inicio de sesión.

La sigilo y persistencia del malware lo hacen excepcionalmente peligroso. Su capacidad para permanecer desapercibido mientras recopila información y proporciona acceso remoto subraya su valor en operaciones cibernéticas patrocinadas por estados.

Herramientas de engaño: ingeniería social y vectores de infección

Las campañas ApolloShadow combinan la manipulación técnica con la ingeniería social. Las víctimas no solo son redirigidas y manipuladas mediante ataques a nivel de red, sino que también reciben mensajes engañosos que las instan a instalar certificados maliciosos bajo la apariencia de software confiable.

Si bien las campañas de ApolloShadow se basan principalmente en la interceptación a nivel de ISP y la ingeniería social, los vectores de infección pueden expandirse a través de tácticas de distribución de malware más convencionales.

Métodos comunes de distribución de malware :

Tácticas engañosas:

  • Mensajes de phishing (correos electrónicos, mensajes privados, publicaciones en redes sociales).
  • Enlaces o archivos adjuntos maliciosos.
  • Actualizaciones o instaladores de software fraudulentos.

Fuentes de descarga no seguras:

  • Sitios web no oficiales.
  • Servicios gratuitos de alojamiento de archivos.
  • Plataformas de intercambio peer-to-peer (P2P).

Además, algunas cepas de malware, incluidas herramientas avanzadas como ApolloShadow, pueden propagarse a través de redes locales o distribuirse mediante dispositivos de almacenamiento extraíbles, como unidades USB o discos duros externos.

Conclusión: Una grave amenaza de espionaje

ApolloShadow representa una grave amenaza de ciberespionaje con fuertes motivaciones geopolíticas. Al aprovechar marcas confiables, ataques engañosos a nivel de red y métodos de acceso persistentes, Secret Blizzard ha creado una poderosa herramienta para la recopilación de inteligencia. Las organizaciones que operan en o cerca de regiones de influencia rusa, especialmente aquellas que dependen de proveedores de servicios de internet locales, deben adoptar protocolos de seguridad reforzados para defenderse de esta amenaza en constante evolución.

Tendencias

DHL Express - Estafa por correo electrónico con...

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes siguen recurriendo al engaño por correo electrónico para atacar a personas desprevenidas. Una de estas tácticas, muy extendida, es la estafa "DHL Express - Información de facturación incorrecta", una campaña de phishing diseñada para robar datos confidenciales y, potencialmente, engañar a los destinatarios para que realicen pagos fraudulentos. Estos correos electrónicos...

Mas Visto

Cargando...