GoldenJackal: un actor de amenazas oculto que ataca las redes gubernamentales
GoldenJackal es un grupo de ciberespionaje relativamente desconocido pero muy capaz que ha estado vinculado a múltiples ataques a organizaciones diplomáticas y gubernamentales, centrándose especialmente en sistemas que están aislados físicamente de Internet. Este sofisticado actor de amenazas opera con un alto grado de sigilo e ingenio, utilizando conjuntos de herramientas de malware personalizados para comprometer redes sensibles y robar datos confidenciales.
Table of Contents
La evolución de las herramientas de GoldenJackal
Desde que los investigadores de seguridad se dieron cuenta de ello por primera vez en 2023, GoldenJackal ha estado vinculado a ataques en regiones como Oriente Medio, el sur de Asia y Europa. Sin embargo, sus operaciones se remontan al menos a 2019. Lo que distingue a este grupo es el uso de malware especializado para vulnerar sistemas aislados (aquellos que no están conectados a ninguna red, lo que dificulta la infiltración remota).
El malware de GoldenJackal está diseñado para propagarse a través de unidades USB. Un gusano, conocido como JackalWorm , se propaga entre dispositivos conectados y suele estar asociado a un troyano conocido como JackalControl, que otorga a los atacantes el control sobre los sistemas comprometidos. El objetivo es recopilar y extraer datos de objetivos de alto valor, como computadoras del gobierno, a las que de otro modo sería difícil acceder.
Robo de datos de redes aisladas
El objetivo principal del grupo parece ser el robo de datos de objetivos de alto perfil. Los investigadores creen que GoldenJackal ha desarrollado múltiples versiones de malware para robar información de computadoras aisladas. Esta táctica implica infectar unidades USB con malware, que luego transfiere las cargas útiles entre máquinas conectadas a Internet y sistemas aislados.
Algunas de las herramientas de malware personalizadas atribuidas a GoldenJackal incluyen:
- GoldenDealer : diseñado para comprometer sistemas conectados a Internet y transferir cargas maliciosas a máquinas aisladas mediante unidades USB infectadas.
- GoldenHowl : una puerta trasera flexible que permite a los atacantes robar archivos, crear tareas y establecer comunicaciones seguras con servidores externos.
- GoldenRobo : una herramienta de recopilación de datos utilizada para filtrar información robada.
Un arsenal en crecimiento
Más recientemente, se ha observado que GoldenJackal emplea un conjunto de malware completamente nuevo, escrito principalmente en el lenguaje de programación Go, dirigido a objetivos específicos en Europa. Estas herramientas están diseñadas para realizar muchas de las mismas tareas que sus contrapartes anteriores, como copiar archivos desde unidades USB y enviar datos de vuelta a los atacantes, pero con mayor eficiencia y sofisticación.
Cabe destacar que el malware del grupo está diseñado para funcionar en etapas. Una vez que una unidad USB infectada llega a un sistema con aislamiento, el malware recopila información silenciosamente y la almacena en la unidad USB. Cuando esa misma unidad se conecta a un dispositivo con acceso a Internet, los datos se transmiten automáticamente a un servidor controlado por el atacante.
Cómo protegerse de los ataques de GoldenJackal
La defensa contra actores de amenazas avanzadas como GoldenJackal requiere un enfoque en capas, en particular para las organizaciones que administran información confidencial en sistemas aislados. Algunas prácticas recomendadas incluyen:
- Limitación del uso de dispositivos USB : solo se deben utilizar dispositivos USB autorizados en entornos sensibles y se los debe escanear periódicamente para detectar signos de compromiso.
- Segmentación de la red : las organizaciones deben garantizar una separación estricta entre los sistemas conectados a Internet y aquellos que manejan datos confidenciales, lo que dificulta que el malware cruce la brecha.
- Monitoreo regular : Las inspecciones de rutina del tráfico USB y los registros del sistema pueden ayudar a detectar actividad sospechosa antes de que se agrave.
GoldenJackal sigue siendo un adversario sigiloso y peligroso que perfecciona continuamente sus tácticas. Si comprenden cómo opera el grupo y toman medidas proactivas para proteger las redes aisladas, las organizaciones pueden reducir el riesgo de este tipo de ataques.
