El prolífico grupo SideWinder ha sido atribuido como el actor del estado-nación detrás de los intentos de ataques contra 61 entidades en Afganistán, Bután, Myanmar, Nepal y Sri Lanka entre junio y noviembre de 2021.
Los objetivos incluían organizaciones gubernamentales, militares, policiales, bancarias y otras, según un informe exhaustivo publicado por Group-IB, que también encontró vínculos entre el adversario y otros dos conjuntos de intrusos rastreados como Baby Elephant y DoNot Team .
SideWinder también se conoce como APT-C-17, Hardcore Nationalist (HN2), Rattlesnake, Razor Tiger y T-APT4. Se sospecha que es de origen indio, aunque Kaspersky en 2022 señaló que la atribución ya no es determinista.
El grupo ha estado vinculado a no menos de 1.000 ataques contra organizaciones gubernamentales en la región de Asia-Pacífico desde abril de 2020, según un informe de la firma rusa de ciberseguridad a principios del año pasado.
De los 61 objetivos potenciales recopilados por Group-IB, 29 de ellos están ubicados en Nepal, 13 en Afganistán, 10 en Myanmar, seis en Sri Lanka y uno en Bután.
Las cadenas de ataque típicas montadas por el adversario comienzan con correos electrónicos de phishing selectivo que contienen un archivo adjunto o una URL trampa que dirige a las víctimas a una carga útil intermedia que se utiliza para lanzar el malware de etapa final.
También se dice que SideWinder agregó una lista de nuevas herramientas a su operación, incluido un troyano de acceso remoto y un ladrón de información escrito en Python que es capaz de filtrar datos confidenciales almacenados en la computadora de una víctima a través de Telegram.
“Los atacantes avanzados han comenzado a preferir Telegram a los servidores tradicionales de comando y control debido a su conveniencia”, dijo Group-IB.
La compañía con sede en Singapur dijo además que descubrió evidencia que vincula al actor con un ataque de 2020 dirigido al gobierno de Maldivas, además de establecer superposiciones de infraestructura y tácticas entre SideWinder, Baby Elephant y DoNot Team.
Si bien se sabe que DoNot Team tiene interés en Bangladesh, India, Nepal, Pakistán y Sri Lanka, Baby Elephant fue documentado por primera vez por la firma china de ciberseguridad Antiy Labs en 2021 como una amenaza persistente avanzada de India dirigida a agencias gubernamentales y de defensa en China y Pakistán.
“Desde 2017, la cantidad de ataques de ‘Baby Elephant’ se ha duplicado cada año, y los métodos de ataque y los recursos se han enriquecido gradualmente, y el objetivo ha comenzado a cubrir más áreas en el sur de Asia”, dijo la compañía a China . medio de comunicación estatal Global Times en ese momento.
Además, se han descubierto similitudes en el código fuente entre SideWinder y los utilizados por otros grupos con un enfoque del sur de Asia, como Transparent Tribe , Patchwork (también conocido como Hangover) y DoNot Team .
“Esta información sugiere que los actores de amenazas patrocinados por el estado están felices de tomar prestadas herramientas entre sí y ajustarlas a sus necesidades”, dijo Group-IB.
La capacidad del actor de amenazas para refinar continuamente su conjunto de herramientas en función de sus prioridades en evolución lo convierte en un actor particularmente peligroso que opera en el área de espionaje.
“Obviamente, el grupo tiene recursos financieros considerables y lo más probable es que esté patrocinado por el estado, dado que SideWinder ha podido estar activo durante tanto tiempo, desarrollar nuevas herramientas y mantener una infraestructura de red bastante grande”.
fuente:thehackernews