La Fuerza Aérea de Pakistán es el objetivo aparente de una nueva y compleja campaña de ataque patrocinada por el estado. La casa de seguridad Cylance ha dicho esta semana que un grupo patrocinado por el estado, apodado la Compañía Blanca por los investigadores, ha estado buscando ingresar a las redes del ejército paquistaní en una campaña de ataque dirigido a largo plazo conocida como Operación Shaheen. Durante el último año, según Cylance, el grupo de la Compañía Blanca ha estado apuntando a miembros de la Fuerza Aérea con correos electrónicos de suplantación de identidad que contienen troyanos de acceso remoto que, a su vez, instalan el registro y las cargas útiles de malware de comando y control si están activadas.
Operando en parte detrás de la fachada de un negocio de cerrajería belga, la Operación Shaheen primero envió correos electrónicos de suplantación de identidad con enlaces a sitios web comprometidos, y luego cambió a correos electrónicos con documentos de Word infectados adjuntos. En ambos casos, encontraron los investigadores, los correos electrónicos fueron diseñados específicamente para hacer referencia a temas que serían relevantes para atraer a los objetivos: la Fuerza Aérea de Pakistán, el gobierno de Pakistán y los asesores y militares chinos en Pakistán.
«No podemos decir con precisión dónde fueron esos documentos, o cuáles fueron exitosos. Sin embargo, podemos decir que la Fuerza Aérea de Pakistán fue un objetivo principal», dijo Cylance. «Esto es evidente por los temas primordiales expresados en los nombres de los archivos de documentos, los contenidos de los documentos de señuelo y la especificidad empleada en los señuelos de temática militar».
Cómo funciona este malware
Una vez infectado, el malware busca cubrir sus pistas agrupando la carga útil dentro de múltiples capas de empaque y evadiendo paquetes de antivirus, que actualmente no son detectados por Sophos, ESET, Kaspersky, BitDefender, Avira, Avast, AVG y Quickheal. Esto ha llevado a los investigadores a concluir que el grupo detrás de la Operación Shaheen, la Compañía Blanca, es un grupo patrocinado por el estado con amplios recursos para llevar a cabo campañas de espionaje extendidas. Sin embargo, determinar quién está exactamente detrás del grupo está resultando más difícil para Cylance, ya que no hay escasez de grupos, tanto nacionales como extranjeros, que tengan interés en espiar a la Fuerza Aérea de Pakistán.
«Pakistán es una nación tumultuosa, con armas nucleares, con una historia de explosivas políticas internas. Su posición en el tablero de ajedrez geopolítico los convierte en un objetivo obvio de todos los estados nacionales con programas cibernéticos bien desarrollados (es decir, los Cinco Ojos, China, Rusia, Irán, RPDC, Israel),» señala el informe de Cylance. «También llaman la atención de las potencias cibernéticas emergentes como India y las naciones del Golfo».
