APT Nazar

El grupo de piratería Nazar es una APT (Amenaza Persistente Avanzada) descubierta recientemente. Los investigadores de malware creen que este grupo de piratería puede ser parte del infame APT37. Este último es un grupo de piratas informáticos con sede en China, que también se conoce con el alias Emissary Panda. En 2017 hubo una filtración del grupo de piratería Shadow Brokers, que incluía algunos detalles interesantes sobre la actividad y el arsenal de piratería de Nazar APT.

Según la filtración de Shadow Brokers, es probable que el grupo de piratería Nazar haya estado activo durante una década, desde 2010. La mayoría de los objetivos de Nazar APT parecen estar ubicados en Irán. En los diez años que Nazar APT ha estado activo, el grupo de piratería ha actualizado su arsenal de herramientas y, a menudo, ha cambiado sus objetivos regularmente. Entre sus herramientas de piratería más recientes se encuentra el troyano de puerta trasera EYService, que es una amenaza que funciona de manera muy silenciosa y puede evitar ser detectada durante períodos prolongados. El troyano EYService se utilizó en las campañas APT de Nazar dirigidas a víctimas iraníes. Esta amenaza es capaz de recopilar información, realizar operaciones de reconocimiento complejas y plantar malware adicional en el host infectado. Para evitar la detección de algunas soluciones antimalware, la carga útil del malware EYService se ofuscó con la ayuda de utilidades legítimas, así como herramientas de piratería disponibles públicamente. Este es un truco que utilizan numerosos ciberdelincuentes en todo el mundo.

A pesar de que el grupo de hackers Nazar ha estado activo durante más de una década, no hay mucha información disponible sobre sus campañas y objetivos. Parecería que este APT prefiere mantenerse alejado del centro de atención y se mueve con cuidado. Es probable que los investigadores de malware puedan obtener más información sobre estos delincuentes cibernéticos y sus motivaciones en el futuro.