Actor amenazante de Star Blizzard
El actor ruso de ciberamenazas conocido como Star Blizzard ha sido vinculado a una nueva campaña de phishing dirigida a las cuentas de WhatsApp de las víctimas. Esto marca un cambio con respecto a sus tácticas habituales, probablemente destinadas a evadir la detección y mantener sus operaciones bajo un mayor escrutinio.
Tabla de contenido
Objetivos de alto perfil en el gobierno y la diplomacia
Star Blizzard se dirige principalmente a individuos relacionados con el gobierno y la diplomacia, incluidos funcionarios actuales y anteriores. También tiene como objetivo a investigadores especializados en política de defensa y relaciones internacionales, en particular aquellos cuyo trabajo involucra a Rusia. Otro grupo clave en su punto de mira son individuos y organizaciones que ayudan a Ucrania en el conflicto en curso con Rusia.
La infame ventisca estelar: una amenaza persistente
Anteriormente conocido como SEABORGIUM, Star Blizzard tiene un largo historial de actividades cibernéticas que se remontan al menos a 2012. Opera bajo varios alias, incluidos Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 y UNC4057. Este grupo es conocido por sus campañas de recolección de credenciales, generalmente ejecutadas a través de correos electrónicos de phishing diseñados para robar credenciales de inicio de sesión confidenciales.
Una historia de tácticas engañosas
Star Blizzard ha utilizado tradicionalmente correos electrónicos de phishing enviados desde cuentas de ProtonMail, incorporando enlaces maliciosos en documentos para atraer a las víctimas y conseguir que proporcionen sus credenciales. Estos ataques suelen utilizar páginas desarrolladas con tecnología Evilginx para eludir las medidas de seguridad de autenticación de dos factores (2FA) mediante una técnica de adversario en el medio (AiTM). El grupo también ha aprovechado plataformas de marketing por correo electrónico como HubSpot y MailerLite para ocultar los datos del remitente y eludir los filtros de seguridad.
Disrupciones y adaptaciones
Los esfuerzos para frenar las actividades de Star Blizzard cobraron fuerza a finales del año pasado, cuando Microsoft y el Departamento de Justicia de Estados Unidos (DoJ) se incautaron de más de 180 dominios vinculados al grupo. Estos dominios se habían utilizado activamente para atacar a periodistas, centros de estudios y ONG entre enero de 2023 y agosto de 2024. La mayor exposición pública de estas operaciones puede haber obligado al grupo a ajustar sus tácticas, lo que dio lugar a la reciente campaña centrada en WhatsApp.
Se revela el esquema de phishing de WhatsApp
La última campaña comienza con un correo electrónico de phishing que se hace pasar por un mensaje de un funcionario del gobierno de Estados Unidos. Este enfoque engañoso añade credibilidad y aumenta la probabilidad de interacción con el destinatario. El correo electrónico contiene un código QR que supuestamente invita a los destinatarios a unirse a un grupo de WhatsApp dedicado a apoyar a las ONG de Ucrania. Sin embargo, el código se descifra deliberadamente, lo que incita a la víctima a responder.
Un engaño de varios pasos
Al recibir una respuesta, Star Blizzard envía un correo electrónico de seguimiento en el que se disculpa por el problema y proporciona un enlace acortado de t.ly al grupo de WhatsApp. Al hacer clic en el enlace, se redirige al objetivo a una página web que le indica que escanee otro código QR. Sin embargo, en lugar de otorgar acceso a un grupo legítimo, este código QR es una trampa diseñada para explotar la función de vinculación de cuentas de WhatsApp, lo que otorga a los atacantes acceso no autorizado a los mensajes y los datos.
Cómo aprovechar las funciones de WhatsApp
Las víctimas que siguen las instrucciones del sitio engañoso ('aerofluidthermo.org') permiten sin saberlo que Star Blizzard se infiltre en sus cuentas de WhatsApp. Este método permite a los atacantes extraer mensajes y otros datos confidenciales, posiblemente a través de extensiones del navegador.
Medidas de precaución para personas en riesgo
Quienes trabajan en el gobierno, la diplomacia, la política de defensa o las relaciones internacionales (en particular quienes tienen vínculos con Ucrania) deben estar alertas cuando reciban correos electrónicos que contengan enlaces a fuentes externas. Verificar la autenticidad de los mensajes inesperados antes de hacer clic en los enlaces o escanear códigos QR es fundamental para evitar que se vulneren sus datos.
Una amenaza cibernética persistente y en evolución
Esta última campaña destaca la adaptabilidad de Star Blizzard y su determinación de continuar con sus operaciones de phishing selectivo a pesar de los repetidos contratiempos. Al pasar al phishing a través de WhatsApp, el grupo demuestra su capacidad para desarrollar tácticas, lo que subraya la necesidad constante de concienciación sobre ciberseguridad y medidas de protección entre las personas y organizaciones afectadas.
