El malware LuckyStrike Agent ataca a empresas de TI rusas en un ciberataque de piratas espaciales
Las organizaciones de TI rusas están en la mira de una nueva amenaza cibernética descubierta: el grupo de piratas informáticos Space Pirates ha lanzado una nueva ola de ataques. La campaña maliciosa, detectada por primera vez en noviembre de 2024 por Solar, la división de ciberseguridad de Rostelecom de Rusia, aprovecha una cepa de malware previamente desconocida llamada LuckyStrike Agent. Esta sofisticada operación de ciberespionaje, rastreada bajo el nombre en clave Erudite Mogwai, subraya un esfuerzo continuo para infiltrarse en objetivos de alto valor en el sector tecnológico de Rusia.
Table of Contents
¿Quiénes son los piratas espaciales?
Space Pirates es un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) conocido por su enfoque en el espionaje cibernético, que se dirige principalmente a agencias gubernamentales e industrias de alta tecnología. El grupo ha estado activo desde al menos 2017, y sus campañas se han extendido más allá de Rusia a países como Georgia y Mongolia. Comparte notables superposiciones tácticas con otro grupo APT vinculado a China, Webworm, lo que sugiere posibles vínculos con actividades cibernéticas patrocinadas por el estado.
Dentro del ataque del agente LuckyStrike
Intrusión inicial y movimiento lateral
Según los investigadores de Solar, el ataque comenzó con la vulneración de un servicio web de acceso público a más tardar en marzo de 2023. Los atacantes actuaron con cautela, realizando tareas de reconocimiento y extendiéndose gradualmente por la red durante un asombroso período de 19 meses. En noviembre de 2024, habían obtenido acceso a segmentos críticos de la red relacionados con la monitorización del sistema.
El papel del agente de LuckyStrike
El malware LuckyStrike Agent, descubierto recientemente, es una puerta trasera multifuncional de .NET que utiliza Microsoft OneDrive para la comunicación de comando y control (C2). Esto permite a los atacantes emitir comandos de forma encubierta y extraer datos confidenciales mientras se mezclan con el tráfico legítimo de la red.
Herramientas adicionales en el ataque
Además del agente LuckyStrike, los Piratas Espaciales emplearon:
- Deed RAT (ShadowPad Light) : un troyano de acceso remoto sigiloso que proporciona acceso persistente.
- Proxy Stowaway modificado : una utilidad de proxy personalizada y optimizada para comunicaciones cifradas, que utiliza compresión LZ4, cifrado XXTEA y compatibilidad con el protocolo QUIC para evadir la detección.
Al modificar cuidadosamente Stowaway, los atacantes eliminaron funciones innecesarias y alteraron el tamaño de las estructuras, probablemente en un esfuerzo por eludir los sistemas de detección basados en firmas.
Una amenaza persistente y en evolución
Los grupos APT como Space Pirates operan con objetivos a largo plazo y, a menudo, mantienen el acceso a entornos comprometidos durante meses o incluso años. Su capacidad para permanecer sin ser detectados mientras expanden constantemente su presencia resalta la importancia de la monitorización continua de las amenazas y las defensas proactivas de la ciberseguridad.
A medida que las amenazas cibernéticas evolucionan, las organizaciones deben adoptar un enfoque de seguridad de múltiples capas, que incluya segmentación de red, monitoreo de puntos terminales y evaluaciones periódicas de vulnerabilidad. El uso de servicios en la nube como OneDrive para operaciones de C2 también genera inquietudes sobre la posibilidad de que las herramientas de seguridad tradicionales no detecten amenazas ocultas dentro de plataformas legítimas.
La campaña Erudite Mogwai de los Piratas Espaciales es un duro recordatorio de que ninguna organización es inmune al espionaje cibernético. Con malware avanzado como LuckyStrike Agent y herramientas de piratería personalizadas, los grupos APT siguen perfeccionando sus tácticas, lo que hace que la detección temprana sea más crítica que nunca. Las empresas de TI rusas (y las industrias de alta tecnología en todo el mundo) deben mantenerse alerta ante estas amenazas sigilosas y persistentes.
