Microsoft advirtió sobre una campaña de ciberespionaje masivo en Moscú

Microsoft Threat Intelligence ha informado en su blog que descubierto una campaña de ciberespionaje del actor estatal ruso, al que rastrearon como Secret Blizzard, que ha estado atacando embajadas ubicadas en Moscú utilizando una posición de adversario en el medio (AiTM) para desplegar su malware personalizado ApolloShadow. ApolloShadow tiene la capacidad de instalar un certificado raíz de confianza para engañar a los dispositivos y hacerlos confiar en sitios controlados por actores maliciosos, lo que permite a Secret Blizzard mantener la persistencia en dispositivos diplomáticos, probablemente para recopilar inteligencia.

Visto en arsTechnica

Esta campaña, que lleva activa al menos desde 2024, representa un alto riesgo para las embajadas extranjeras, las entidades diplomáticas y otras organizaciones sensibles que operan en Moscú, en particular para aquellas entidades que dependen de proveedores de internet locales.

Si bien previamente se evaluó con baja certeza que el actor realiza actividades de ciberespionaje dentro de las fronteras rusas contra entidades nacionales y extranjeras, esta es la primera vez que pueden confirmar que tiene la capacidad de hacerlo a nivel de Proveedor de Servicios de Internet (ISP). Esto significa que el personal diplomático que utiliza ISP locales o servicios de telecomunicaciones en Rusia es muy probablemente blanco de la posición AiTM de Secret Blizzard dentro de dichos servicios.

El blog ofrece orientación sobre cómo las organizaciones pueden protegerse contra la campaña Ai™ ApolloShadow de Secret Blizzard, incluyendo forzar o enrutar todo el tráfico a través de un túnel cifrado hacia una red confiable o usar un proveedor alternativo (como una conexión satelital) alojado en un país que no controla ni influye en la infraestructura del proveedor. El blog también proporciona información adicional sobre defensa de red, como recomendaciones, indicadores de compromiso (IOC) y detalles de detección.