Saguaro: ¿quién espía a América Latina desde 2009?

El grupo ‘Saguaro’ está América Latina utilizando técnicas sencillas, pero eficaces, de acuerdo con el último informe de Kaspersky Lab que dice haber descubierto una nueva campaña de ciberespionaje bautizada como ‘Saguaro‘, y que se trata de “un grupo cibercriminal profundamente regionalizado que recurre al uso de un proceso sencillo, pero eficaz, para distribuir diferentes tipos de malware“.

Según los descubrimientos, “esta campaña ha sido dirigida desde el año 2009 a víctimas importantes, entre ellas las instituciones financieras, de salud y de investigación, así como los proveedores de Internet, agencias de relaciones públicas, universidades y empresas de logística”. El campo principal de operación es América Latina, y la gran mayoría de sus víctimas está ubicada en México. Otros países afectados son Colombia, Brasil, Estados Unidos, Venezuela y República Dominicana, entre otros. El objetivo de los atacantes es espiar y robar información confidencial de sus víctimas.

Basándose en los hallazgos realizados durante la investigación, los expertos de Kaspersky Lab concluyeron que los atacantes de la campaña hablan español y tienen raíces en México, pero poco más se sabe de estos delincuentes que, de ser verdad las comprobaciones, podrían tener en su haber una gran cantidad de datos de mucha importancia de instituciones latinas. Lo inusual de la amenaza es que usa técnicas muy simples y que se concentre solo en América.

Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab ha explica que “el patrón utilizado en cada uno de los dominios es prácticamente el mismo, pues la singular huella digital que deja contribuyó a revelar la magnitud de esta operación que aún sigue activa”.  Los expertos de Kaspersky Lab identificaron más de 120,000 víctimas en todo el mundo.

Según explica un comunicado de prensa, “los ataques empiezan con un simple correo electrónico del tipo spear-phishing, que atrae a las víctimas seleccionadas para que abran un documento malicioso de Microsoft Office con un macro incluido. Para crear un gancho más creíble y tratar de pasar inadvertidos, los documentos parecen ser enviados por una agencia de gobierno regional o institución financiera. En un siguiente paso, se baja una segunda fase de carga desde un amplio grupo de servidores web que el grupo ‘Saguaro’ utiliza y que finalmente es ejecutada por el macro, lo que infecta exitosamente el sistema con el malware determinado. Almacenar el malware en línea con nombres de archivo como ‘logo.gif’ o ‘logo.jpg’, mientras se albergan diferentes servidores de órdenes y control en cada ataque, hace que rastrear e identificar el tráfico sospechoso en la red sea una tarea difícil, ya que todas las comunicaciones se realizan mediante peticiones regulares de aportes HTTP.

Este grupo de ciberespionaje utiliza el malware, las puertas traseras y las herramientas de administración remota para robar datos de los navegadores web, clientes de correo electrónico, aplicaciones FTP, programas de mensajería instantánea, conexiones VPN, e incluso captura contraseñas de Wi-Fi almacenadas y credenciales de la nube.