GoSerpent y TetrisPhantom: paciencia y evasión en una campaña de amenaza persistente en sistemas gubernamentales de Asia Sudoriental



Kaspersky ha desentrañado una campaña de larga data, identificada como GoSerpent, que opera en sistemas gubernamentales de la región de Asia Sudoriental. Esta infraestructura maliciosa combina un backdoor del mismo nombre, un Remote Access Trojan (RAT) conocido como Stowaway y una herramienta de exfiltración de datos en dos etapas denominada TmcLoader. El backdoor fue utilizado por primera vez en 2021, lo que implica que ha estado oculto durante aproximadamente cinco años. Este tiempo de permanencia se ha logrado gracias a una planificación meticulosa y a una notable paciencia por parte de los actores de la amenaza.

Entre las conclusiones clave de Kaspersky está el rasgo distintivo de GoSerpent: el “dwell time” deliberado. A diferencia de ataques que buscan moverse rápidamente tras obtener acceso, este grupo introduce el backdoor inicial y espera varias semanas antes de desplegar herramientas de exfiltración secundarias como TmcLoader. Este enfoque retrasado es una estrategia diseñada para evadir políticas de retención de registros y barridos de seguridad automatizados, dificultando que los defensores vinculen la infección inicial con el robo de datos posterior.

La atribución no se ha cerrado de forma concluyente. Sin embargo, los investigadores señalan numerosas similitudes con campañas históricas atribuidas al actor conocido como TetrisPhantom, en términos de víctimas, capacidades técnicas y métodos operativos. En 2023, Kaspersky analizó a TetrisPhantom en relación con campañas pasadas que comprometieron sistemas de almacenamiento en USB seguros para cifrar datos sensibles utilizados por entidades gubernamentales en la región APAC. En aquel entonces, el grupo era considerado un actor nuevo sin solapamientos claros con otros grupos conocidos, lo que contrasta con las similitudes observadas en la campaña GoSerpent.

En el informe se exhorta a los defensores y equipos de seguridad a revisar los Indicadores Compartidos de Compromiso (IoCs) asociados con GoSerpent y TetrisPhantom. Dado el historial de ataques contra gobiernos regionales y la capacidad de los actores para mantener presencia a lo largo de años, la revisión de IoCs y la implementación de controles de detección temprana resultan fundamentales para detectar posibles compromisos antes de que se produzca la exfiltración de datos.

Lo anterior subraya la necesidad de vigilancia continua frente a campañas que combinan múltiples componentes (backdoor, RAT y herramientas de exfiltración en dos etapas) y que emplean tácticas de paciencia para evadir la detección. Las entidades gubernamentales y los operadores de seguridad deben fortalecer las defensas con detección de comportamientos inusuales, monitoreo de señales de actividad tardía y endurecimiento de políticas de retención de logs para dificultar la evasión por parte de actores persistentes.

from Latest from TechRadar https://ift.tt/y8Izj0n
via IFTTT IA