Space Pirates Ataca Firmas Rusas de TI con el Nuevo Malware LuckyStrike Agent
En un reciente descubrimiento que ha sacudido al sector de la seguridad informática, el grupo de amenazas conocido como Space Pirates ha sido vinculado a una campaña maliciosa dirigida a organizaciones de tecnología de la información (TI) en Rusia. Esta campaña emplea un malware previamente no documentado, denominado LuckyStrike Agent, que ha sido detectado por Solar, la división de ciberseguridad de la empresa de telecomunicaciones estatal rusa Rostelecom. La actividad, rastreada bajo el nombre Erudite Mogwai, fue identificada en noviembre de 2024 y representa una sofisticada operación de espionaje y robo de información confidencial.
Los ataques atribuidos a Space Pirates no solo se caracterizan por el uso de LuckyStrike Agent, sino también por la implementación de otras herramientas maliciosas como Deed RAT, también conocido como ShadowPad Light, y una versión personalizada de la utilidad proxy Stowaway. Este último ha sido utilizado previamente por otros grupos de hackers vinculados a China, lo que sugiere una posible colaboración o inspiración entre estos actores de amenazas.
Erudite Mogwai es reconocido como uno de los grupos de APT (Advanced Persistent Threat) más activos, especializados en el robo de información confidencial y el espionaje. Desde al menos 2017, este grupo ha estado atacando agencias gubernamentales, departamentos de TI de diversas organizaciones, así como empresas relacionadas con industrias de alta tecnología, como la aeroespacial y la energía eléctrica. Su modus operandi incluye la infiltración lenta y meticulosa en los sistemas de sus víctimas, buscando 'frutos al alcance' para expandir su presencia en la infraestructura comprometida.
En uno de los ataques más recientes, dirigido a un cliente del sector gubernamental, Solar descubrió que los atacantes habían ganado acceso a la infraestructura comprometiendo un servicio web accesible públicamente. A partir de ahí, comenzaron a desplegar diversas herramientas para facilitar el reconocimiento y, finalmente, implementaron LuckyStrike Agent. Este malware es un backdoor .NET multifuncional que utiliza Microsoft OneDrive para el comando y control (C2), permitiendo a los atacantes mantener una comunicación encubierta con los sistemas infectados.
Además, es destacable el uso de una versión modificada de Stowaway, que ha sido alterada para retener solo su funcionalidad de proxy. Esta versión personalizada incorpora LZ4 como algoritmo de compresión, XXTEA como algoritmo de cifrado y añade soporte para el protocolo de transporte QUIC. Estas modificaciones no solo mejoran la eficiencia del malware, sino que también dificultan su detección por parte de los sistemas de seguridad convencionales.
La campaña de Space Pirates y el uso de LuckyStrike Agent subrayan la creciente sofisticación de los grupos de amenazas en el panorama actual de la ciberseguridad. Con herramientas cada vez más avanzadas y tácticas de evasión mejoradas, estos actores representan un desafío significativo para las organizaciones en todo el mundo. La detección y el análisis de estas amenazas por parte de Solar y otras entidades de seguridad son cruciales para desarrollar defensas efectivas y proteger la infraestructura crítica de futuros ataques.
Este incidente no solo resalta la importancia de la vigilancia continua y la inversión en ciberseguridad, sino que también sirve como un recordatorio de la necesidad de colaboración internacional para combatir las amenazas cibernéticas. A medida que los grupos de hackers continúan evolucionando, la comunidad global de seguridad debe mantenerse un paso adelante, compartiendo conocimientos y recursos para proteger el mundo digital en el que vivimos.