Los expertos de Kaspersky Lab han descubierto al Grupo Poseidón, una entidad delictiva que no se había descubierto hasta hora, pero que lleva operando desde 2005, como mínimo, con el fin de robar datos confidenciales a las víctimas a través de malware personalizado firmado digitalmente con falsos certificados. Este grupo a través de estos ataques obliga a las empresas a establecer relaciones comerciales. Su malware está diseñado para funcionar específicamente en equipos Windows en portugués, brasileño e inglés. Los analistas de Kaspersky han detectado ataques en al menos 35 empresas de diversos ámbitos como instituciones financieras y gubernamentales, telecomunicaciones, energía y otras empresas de servicios públicos. Además han detectado ataques a empresas de servicios para altos ejecutivos.
Sus objetivos están ubicados principalmente en Brasil, pero también se han encontrado víctimas en Estados Unidos, Francia, Kazajstán, Emiratos Árabes Unidos, India y Rusia.
Según el informe de Kaspersky Lab, el Grupo Poseidón utiliza principalmente emails de phishing con archivos RTF-DOC, por lo general con un señuelo relacionado con recursos humanos. Tras el clic de apertura, introduce un binario malicioso en el sistema del objetivo. Tras infectar el equipo, el malware informa a los servidores de comando y control antes de comenzar una fase en la que recoge de forma automática un gran flujo de información: credenciales, políticas de gestión de grupos e incluso los logs del sistema para perfeccionar futuros ataques y asegurar la ejecución de los programas maliciosos.
Posteriormente, esta información se utiliza por una empresa gancho que manipula a la víctima para lograr que contrate los servicios de Poseidón Security como consultora de seguridad bajo la amenaza de utilizar la información robada en favor de Poseidón.
«El Grupo Poseidón es un equipo sólido con muchos años de trayectoria en todos los dominios: tierra, aire y mar. Algunos de sus centros de mando y control se han encontrado en el interior de los ISP que ofrecen servicios de Internet a los barcos en alta mar, en las conexiones inalámbricas, así como los operadores tradicionales», explicó Dmitry Bestúzhev, director de investigación global de Kaspersky Lab América Latina.
El Grupo Poseidón ha estado activo los últimos 10 años por lo que sus técnicas para diseñar implants han evolucionado, dificultando así la tarea de correlacionar y conectar dichas técnicas al mismo grupo. «La vida útil de sus implants es muy corta, lo que les ha ayudado a operar mucho tiempo sin ser detectados», añadió el experto.
Los expertos de Kaspersky Lab lograron, a mediados de 2015, identificar trazos inconexos y concluir que provenían del mismo actor amenaza: el Grupo Poseidón.