Eset ha desvelado las técnicas y las herramientas que utiliza el grupo InvisiMole para atacar a misiones diplomáticas e instituciones militares de Europa del Este. La investigación, que se ha presentado en el marco del Eset Virtual World 2020, celebrado la semana pasada, ha analizado los intentos de ataques que se produjeron entre finales de 2019 y junio de 2020.
Este grupo está activo desde 2013 y la compañía ya había documentado su aparición en una investigación de ciberespionaje en Ucrania y Rusia. “En aquel momento encontramos esos dos backdoors muy bien equipados, pero faltaba una pieza importante del puzle para entender sus objetivos: no sabíamos cómo los distribuían ni cómo los instalaban en los sistemas”, explica Zuzana Hromcová, investigadora de Eset que ha analizado InvisiMole.
Ahora gracias a la colaboración con las organizaciones afectadas se han podido descubrir las herramientas que utilizan y las técnicas que aplican. De este modo, los investigadores han descubierto que está relacionado con el grupo Garamedon y que su arsenal solo se despliega una vez que Garamedon se ha infiltrado en la red de la víctima.
InvisiMole utiliza cuatro cadenas de ejecución mediante una combinación de código malicioso, herramientas legítimas y archivos ejecutables vulnerables. Para esconder el malware utiliza un cifrado único para cada víctima, lo que asegura que el payload solo puede ser descifrado y ejecutado en el equipo infectado.
La investigación también ha revelado que este grupo utiliza técnicas de tunneling DNS para conseguir una comunicación con el servidor de mando y control más sigilosa.
