30/05/2025
Un grupo de ciberespionaje apoyado por Rusia logró acceso a redes de países de la OTAN y empresas de tecnología occidentales
Fuente: telam
El grupo, apodado Laundry Bear por las agencias de seguridad de Países Bajos, cuenta con respaldo estatal ruso
>El grupo de ciberespionaje apodado Laundry Bear ha perfeccionado técnicas de ataque como el uso de dominios falsificados y campañas de spear-phishing para infiltrarse en organizaciones clave de Europa y Norteamérica, según reportó The Register. Esta agrupación, también identificada por Microsoft como Void Blizzard, ha intensificado sus operaciones desde abril de 2024, enfocándose en entidades gubernamentales, fuerzas policiales, empresas tecnológicas occidentales y sectores estratégicos de interés para el gobierno ruso. Las agencias de inteligencia de los Países Bajos, la AIVD y la MIVD, confirmaron que el grupo actúa con respaldo estatal ruso y representa una amenaza internacional significativa.
Por su parte, Microsoft Threat Intelligence informó que en octubre de 2024, el grupo accedió a cuentas de usuarios de organizaciones ucranianas del sector aeronáutico. Esta entidad ya había sido blanco de ataques previos por parte de Seashell Blizzard (también conocido como Sandworm), otro grupo vinculado a la inteligencia rusa, en 2022. Según el informe de Microsoft, Laundry Bear ha intentado comprometer de manera regular a organismos gubernamentales y fuerzas del orden en Europa y América del Norte, además de atacar sectores como telecomunicaciones, defensa, salud, educación, tecnología de la información, transporte, medios de comunicación y organizaciones no gubernamentales.
The Register detalló que, hasta la fecha, Laundry Bear solo ha ejecutado ataques cibernéticos no destructivos, orientados principalmente al espionaje. El grupo suele emplear credenciales robadas obtenidas en ecosistemas de malware de robo de información y, una vez dentro de las organizaciones víctimas, recopila grandes volúmenes de correos electrónicos y archivos. En abril de 2025, Microsoft Threat Intelligence Center observó que Void Blizzard amplió su repertorio con campañas de spear-phishing dirigidas al robo de credenciales, enfocándose en más de 20 organizaciones no gubernamentales en Europa y Estados Unidos.
Durante estas campañas, los atacantes se hicieron pasar por organizadores de la European Defense and Security Summit, enviando correos electrónicos con archivos PDF maliciosos que contenían un código QR. Al escanearlo, las víctimas eran redirigidas a una infraestructura controlada por Void Blizzard en el dominio falsificado micsrosoftonline.com, que simulaba la página de inicio de sesión de Microsoft. El montaje utilizaba la herramienta de código abierto Evilginx para interceptar nombres de usuario, contraseñas y cookies de sesión cuando los usuarios intentaban “registrarse” en el falso evento.El uso de dominios falsificados, conocido como typosquatting, representa una táctica novedosa para el grupo, lo que indica una evolución hacia operaciones más dirigidas y un aumento del riesgo para sectores críticos, según advirtió Microsoft. Una vez obtenida la entrada inicial, los atacantes explotan interfaces legítimas de la nube, como Exchange Online y Microsoft Graph, para acceder a buzones de correo, incluidos los compartidos, y archivos alojados en la nube, automatizando la recolección masiva de datos.Microsoft también observó que, en algunos casos, los atacantes accedieron a conversaciones y mensajes de Microsoft Teams a través de la aplicación web, y utilizaron la herramienta pública AzureHound para mapear la configuración de Microsoft Entra ID de las organizaciones comprometidas, obteniendo información sobre usuarios, roles, grupos, aplicaciones y dispositivos.En las últimas semanas, 21 agencias gubernamentales de países como Estados Unidos, Reino Unido, Canadá, Alemania, Francia, República Checa, Polonia, Austria, Dinamarca y Países Bajos alertaron sobre una campaña en curso de Fancy Bear dirigida a servidores de correo electrónico y cámaras conectadas a internet en pasos fronterizos ucranianos, con el objetivo de rastrear envíos de ayuda.
A pesar de la coincidencia en la selección de objetivos y el uso de técnicas como los ataques de password spraying, los servicios neerlandeses enfatizaron que Laundry Bear y APT28 son actores diferentes. The Moscow Times también reportó que la investigación de las agencias neerlandesas reveló que Laundry Bear ha estado detrás de operaciones cibernéticas contra gobiernos occidentales y otras instituciones desde al menos 2024.
Fuente: telam
Compartir
Notas Relacionadas
Comentarios
Aun no hay comentarios, sé el primero en escribir uno!
Virgo
VIRGO (del 24 de agosto al 23 de septiembre)
Te sentirás completamente defraudado por le comportamiento de un amigo cercano. Procura no actuar por impulso. Se comenzarán a reducir paulatinamente las posibilidades que tienes de recuperar el amor de tu pareja, es momento de actuar. Se cierra un capitulo en tu vida profesional, a la espera de que uno nuevo se abra. No te dejes llevar por la desesperación.Sugerencia: Solo podrás alcanzar la eficiencia en tus determinaciones si piensas con claridad, y esto es imposible en una mente que no este serena y calma.
