MoustachedBouncer, un grupo de ciberdelincuentes especializado en el espionaje a embajadas
El grupo ha estado operando desde 2014 utilizado la técnica adversary-in-the-middle para redirigir las comprobaciones y descargar spyware
ESET Research ha descubierto un nuevo grupo de ciberespionaje, que opera en Bielorrusia y está alineado con los intereses del gobierno local, denominado MoustachedBouncer. Activo desde al menos 2014, el grupo solo tiene como objetivo las embajadas extranjeras del país, incluidas las europeas. Desde 2020, lo más probable es que MoustachedBouncer haya sido capaz de realizar ataques adversary-in-the-middle (AitM) a nivel de ISP dentro de Bielorrusia. El grupo utiliza dos conjuntos de herramientas independientes que ESET ha denominado NightClub y Disco. La investigación fue presentada en exclusiva durante la conferencia Black Hat USA 2023 el pasado 10 de agosto por el investigador de ESET Matthieu Faou.
Según la telemetría de ESET, el grupo tiene como objetivo embajadas extranjeras en Bielorrusia, entre las que ESET ha identificado dos ataques a Europa, uno al sur de Asia y otro a África. Es muy probable que MoustachedBouncer esté alineado con los intereses de Bielorrusia y se especialice en el espionaje. MoustachedBouncer utiliza técnicas avanzadas para las comunicaciones de Mando y Control (C&C), incluyendo la interceptación de redes a nivel de ISP para el implante Disco, correos electrónicos para el implante NightClub, y DNS en uno de los plugins NightClub.
Para comprometer a sus objetivos, los operadores de MoustachedBouncer manipulan el acceso a Internet de sus víctimas, probablemente a nivel de ISP, para hacer creer a Windows que está detrás de un portal cautivo. “En los rangos de IP atacados por MoustachedBouncer, el tráfico de red se redirige a una página de Windows Update aparentemente legítima pero que, en realidad, es falsa", explica Matthieu Faou, investigador que descubrió el nuevo grupo de amenazas. "El escenario de AitM nos recuerda a los actores de amenazas Turla y StrongPity, que han troyanizado instaladores de software sobre la marcha a nivel de ISP. Si bien el compromiso de los routers para llevar a cabo ataques AitM en redes de embajadas no se puede descartar por completo, la presencia de capacidades de interceptación legal en Bielorrusia sugiere que la manipulación del tráfico está ocurriendo a nivel de ISP en lugar de en los routers de los objetivos", explica el investigador.
Desde 2014, las familias de malware utilizadas por MoustachedBouncer han evolucionado, y un gran cambio ocurrió en 2020, cuando el grupo comenzó a utilizar ataques adversary-in-the-middle. MoustachedBouncer opera los dos tipos de ofensivas en paralelo, pero en una máquina determinada, solo se despliega una amenaza a la vez. ESET cree que Disco se utiliza junto con los ataques AitM, mientras que NightClub se utiliza para las víctimas donde la interceptación del tráfico a nivel de ISP no es posible debido a una mitigación como el uso de una VPN cifrada de extremo a extremo donde el tráfico de Internet se enruta fuera de Bielorrusia.
