A finales de 2021, los analistas de la compañía de ciberseguridad Proofpoint identificaron una compleja cadena de ataques dirigida a gobiernos de Oriente Medio, grupos de reflexión sobre política exterior y una aerolínea próxima al Estado. Durante tres meses, se produjeron tres variaciones sutiles de esta cadena de ataques, y se atribuyen estas campañas a TA402, un actor comúnmente rastreado como Molerats y que se cree que opera en interés de los territorios palestinos.
TA402 es una amenaza persistente dirigida a organizaciones y gobiernos de Oriente Medio, que actualiza habitualmente no sólo sus implantes de malware, sino también sus métodos de entrega. En junio de 2021 TA402 pareció detener sus actividades durante un breve periodo de tiempo utilizando ese tiempo para actualizar sus implantes y mecanismos de entrega, utilizando el malware denominado NimbleMamba y BrittleBush. TA402 también utiliza regularmente técnicas de geofencing y cadenas de ataque variadas que complican los esfuerzos de detección para los defensores.
Cómo funcionan las campañas
En las campañas observadas recientemente, TA402 utilizó correos electrónicos de ‘spear phishing’, o phishing dirigido a objetivos determinados, que contenían enlaces que a menudo conducían a archivos maliciosos. El uso de URLs georeferenciadas, URLs de Dropbox y luego URLs de redireccionamiento demuestra la determinación de TA402 de mezclarse con el tráfico de correo electrónico legítimo e infectar objetivos con NimbleMamba.
“En los últimos meses de 2021, TA402 afinó sus métodos de entrega y su malware en campañas que se dirigían sistemáticamente a entidades de Oriente Medio”, comenta Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint. “La observación directa de Proofpoint de estas campañas reveló una compleja cadena de ataque y nos permitió observar las diferencias de matiz en el último implante del grupo, incluyendo su uso de múltiples guardrails para asegurar que el malware sólo se ejecuta en las máquinas objetivo”.
Una de las características principales de NimbleMamba es que utiliza un sistema de delimitación geográfica para asegurarse de que todas las víctimas infectadas están dentro de la región objetivo de TA402. Además, también contiene múltiples capacidades diseñadas para complicar el análisis automatizado y manual, por lo que NimbleMamba se está desarrollando activamente, está bien mantenido y está diseñado para su uso en campañas de recopilación de información muy específicas.
Proofpoint atribuye las campañas, desarrolladas entre noviembre de 2021 y enero de 2022, a TA402 basándose tanto en indicadores técnicos como en los objetivos a los que van dirigidas. La información técnica indica que los desarrolladores de NimbleMamba operan en interés de los territorios palestinos. Las campañas están dirigidas a gobiernos de Oriente Medio, grupos de reflexión sobre política exterior y una aerolínea afiliada al Estado, y se cree que TA402 probablemente opera en apoyo de los objetivos palestinos.
