Un grupo de 'hackers' indios se convierte en objeto de investigación después de que sus equipos se hayan infectado con su propio 'malware'
Un grupo de ciberespionaje de origen indio denominado 'PatchWork', que ha estado operando desde el 2015, fue detectado y analizado por el Equipo de Inteligencia para Amenazas de la empresa de ciberseguridad Malwarebytes.
Los expertos revelaron en su informe, publicado el 7 de enero, que lograron obtener acceso al equipo de 'hackers' gracias a que se había infectado con el mismo 'malware' que emplean para acceder a los ordenadores de sus víctimas, "lo que resultó en pulsaciones de teclas capturadas y capturas de pantalla de su propia computadora y máquinas virtuales".
PatchWork es una amenaza persistente avanzada (APT, por sus siglas en inglés) que suele dirigir sus ataques contra "objetivos de interés en Pakistán" a través de 'phishing' selectivo, distribuyendo correos electrónicos que contienen el programa malicioso y se hacen pasar por documentos enviados por las autoridades del país, señala el informe.
Por otra parte, el propio 'malware', apodado 'Ragnatela', que significa 'telaraña' en italiano, es una variante del troyano de administración remota (RAT) BADNEWS, que empezó a distribuirse por la Red en noviembre del año pasado. Según el equipo de Malwarebytes, el programa malicioso es capaz de tomar capturas de pantalla, registrar pulsaciones de teclas, recopilar una lista de todos los archivos y aplicaciones en ejecución en el ordenador de la víctima, ejecutar comandos, cargar y descargar archivos.
ℹ️ The #Patchwork#APT exposed itself in its latest 'Ragnatela' campaign.➡️ Read our blog post for the details: https://t.co/at879hZjiEpic.twitter.com/rDyEqdQM4n
— Malwarebytes Threat Intelligence (@MBThreatIntel) January 7, 2022
Hasta el momento, los ataques con Ragnatela fueron empleados con éxito contra el Ministerio de Defensa de Pakistán, la Universidad para la Defensa Nacional de Islam Abad, la Facultad de Bio-Ciencia de la Universidad UVAS de Pakistán, el Centro Internacional de Ciencias Biológicas y Químicas, el Instituto de Investigación Química HEJ de la Universidad de Karachi y el área de medicina molecular de la universidad SHU.
Los investigadores señalaron que el último objetivo de los piratas cibernéticos fueron varios miembros de la facultad cuya investigación se centra en la medicina molecular y la ciencia biológica.
"El grupo utiliza máquinas virtuales y VPN para desarrollar, enviar actualizaciones y controlar a sus víctimas. Patchwork, como otras APT de Asia oriental, no son tan sofisticadas como sus contrapartes rusas y norcoreanas", concluyó el informe.