Clicky

Hackers respaldados por el estado apuntan a periodistas en campañas de espionaje generalizadas

Piratería a periodistas

Podría dar a los atacantes la identificación de las fuentes de una noticia

Los grupos de piratería de estados nacionales alineados con China, Irán, Corea del Norte y Turquía han estado atacando a periodistas desde principios de 2021 para realizar espionaje y difundir malware como parte de una serie de campañas.

"Por lo general, los ataques de phishing dirigidos a periodistas se usan para espionaje o para obtener información clave sobre el funcionamiento interno de otro gobierno, empresa u otra área de importancia designada por el estado", dijo en un informe Proofpoint.

El objetivo final de las intrusiones, dijo la firma de seguridad empresarial, es obtener una ventaja de inteligencia competitiva o difundir desinformación y propaganda.

Proofpoint dijo que identificó dos grupos de piratería chinos, TA412 (también conocido como Zirconium o Judgment Panda) y TA459, dirigiéndose al personal de los medios con correos electrónicos maliciosos que contenían web beacons y documentos armados, respectivamente, que se utilizaron para acumular información sobre los entornos de red de los destinatarios e instalar el malware Chinoxy.

piratería a periodistas

De manera similar, el Grupo Lazarus (también conocido como TA404), afiliado a Corea del Norte, apuntó a una organización de medios no identificada con sede en EE. UU. con un señuelo de phishing con el tema de una oferta de trabajo luego de su cobertura crítica del líder supremo Kim Jong Un, reflejando una vez más la confianza continua del actor de amenazas en la técnica para promover sus objetivos.

Los periodistas y los medios con sede en EE. UU. también han sido atacados por un grupo de piratería pro-Turquía conocido como TA482, que se ha relacionado con un ataque de recolección de credenciales diseñado para desviar las credenciales de Twitter a través de páginas de destino falsas.

"Las motivaciones detrás de estas campañas podrían incluir el uso de las cuentas comprometidas para apuntar a los contactos de las redes sociales de un periodista, usar las cuentas para desfigurar o difundir propaganda", teorizaron los investigadores.

piratería a periodistas

Por último, Proofpoint destacó los intentos por parte de múltiples actores iraníes de APT, como Charming Kitten (también conocido como TA453), haciéndose pasar por periodistas para atraer a académicos y expertos en políticas a hacer clic en enlaces maliciosos que redirigen a los objetivos a dominios de recolección de credenciales.

También se une a esta lista un actor de amenazas llamado Tortoiseshell (también conocido como TA456 o Imperial Kitten) que se dice que "rutinariamente" se ha hecho pasar por organizaciones de medios como Fox News y The Guardian para enviar correos electrónicos con temas de boletines que contienen web beacons.

El tercer adversario alineado con Irán que sigue un enfoque idéntico es TA457, que se hizo pasar por un "reportero de iNews" para instalar una puerta trasera de DNS basada en .NET al personal de relaciones públicas de empresas en los EE. UU., Israel y Arabia Saudita.

El hecho de que los periodistas y las entidades de los medios se hayan convertido en el lugar de los ataques se destaca por su capacidad para ofrecer "acceso e información únicos", lo que los convierte en lucrativos objetivos para los esfuerzos de recopilación de inteligencia.

"Un ataque oportuno y exitoso a la cuenta de correo electrónico de un periodista podría proporcionar información sobre historias delicadas e incipientes e identificación de fuentes", dijeron los investigadores.

"Una cuenta comprometida podría usarse para difundir desinformación o propaganda a favor del estado, proporcionar desinformación en tiempos de guerra o pandemia, o usarse para influir en una atmósfera políticamente cargada".

Jesus_Caceres