ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto las actividades de un nuevo grupo APT denominado BackdoorDiplomacy que estaría atacando los Ministerios de Asuntos Exteriores de diferentes países de Oriente Medio y África, así como varias empresas de telecomunicaciones. Los ataques de BackdoorDiplomacy se inician a partir de aplicaciones o servidores web vulnerables en los que se instala una backdoor personalizada y que ESET ha denominado Turian. BackdoorDiplomacy puede detectar unidades extraíbles, sobre todo USB, y copiar sus contenidos en la papelera de reciclaje de la unidad principal.
“BackdoorDiplomacy comparte tácticas, técnicas y procedimientos con otros grupos que operan en Asia. Turian es la evolución natural de Quarian, la backdoor que ya observamos en 2013 atacando misiones diplomáticas en Siria y Estados Unidos”, alerta Jean-Ian Boutin, el responsable de investigación sobre amenazas en ESET que ha trabajado en la investigación junto a Adam Burgher, analista senior de inteligencia sobre amenazas en ESET. El protocolo de cifrado de red de Turian es muy parecido al protocolo de cifrado de red utilizado por Whitebird, una backdoor operada por Calypso, otro grupo asiático. Whitebird se utilizó en organizaciones diplomáticas de Kazajstán y Kirguistán durante los mismos años que BackdoorDiplomacy (entre 2017 y 2020).
Las víctimas de BackdoorDiplomacy incluyen Ministerios de Asuntos Exteriores de varios países africanos pero también de Europa, Oriente Medio y Asia. En África también se han descubierto ataques contra algunas compañías de telecomunicaciones, y en Oriente Medio contra una ONG. En todos los casos, los operadores emplearon tácticas, técnicas y procedimientos similares, pero modificando las herramientas, incluso entre países cercanos, con el objetivo de evitar la detección.
BackdoorDiplomacy es también un grupo que aborda sistemas Linux y Windows. El grupo ataca servidores con puertos expuestos y se aprovecha de vulnerabilidades en la seguridad. Por ejemplo, en una instancia utilizaron la webshell China Chopper, utilizada por varios grupos. Los operadores intentaron disfrazar los droppers de la backdoor y evitar la detección.
El grupo también atacó una serie de víctimas recogiendo datos desde unidades extraíbles (casi siempre USB). Para ello exploraban sistemáticamente los puertos con el objetivo de, en cuanto se detectaba una nueva unidad, intentar copiar todos los archivos en una carpeta protegida por contraseña. BackdoorDiplomacy es capaz de robar la información del sistema de la víctima, realizar capturas de pantalla y escribir, mover o borrar archivos.
Para más información sobre BackdoorDiplomacy, se puede leer el blog de ESET.