El Equipo Global de Investigación y Análisis de Kaspersky Lab (GReAT  por sus siglas en inglés)  informó que una nueva campaña de ciberespionaje avanzada utiliza malware para infectar entidades de alto perfil muy específicas.  Se cree que en Estados Unidos, la Casa Blanca y El Departamento de Estado están incluidos como objetivos, aunque la lista del atacante también incluye organizaciones gubernamentales y entidades comerciales en Alemania, Corea del Sur y Uzbekistán.

Esta amenaza conocida como CozyDuke, también presenta otras características como el uso de capacidades de cifrado y anti-detección. Por ejemplo, el código busca la presencia de varios productos de seguridad con el fin de evadirlos, entre ellos: Kaspersky Lab, Sophos, DrWeb, Avira, Crystal y Comodo Dragon.

Los expertos de seguridad de Kaspersky Lab desenmascararon la fuerte funcionalidad maliciosa del programa, así como similitudes estructurales semejantes a las herramientas de las campañas de ciberespionaje MiniDuke, CosmicDuke y OnionDuke; operaciones que, según varios indicadores, se cree que están administradas por autores de lengua rusa. Las observaciones de Kaspersky Lab muestran que MiniDuke y CosmicDuke están todavía activos y atacando organizaciones diplomáticas, embajadas, energía, compañías de gas y petróleo, telecomunicaciones, militares e instituciones académicas y de investigación en varios países.

El actor de CozyDuke a menudo infecta a sus objetivos con correos electrónicos que contienen un enlace a un sitio web hackeado – a veces se trata de sitios legítimos de alto perfil como ‘diplomacy.pl’  – que alberga un archivo ZIP infectado con malware. En otras operaciones de mucho éxito, este actor envía videos flash falsos con archivos ejecutables maliciosos incluidos como correos electrónicos anexos.

CozyDuke utiliza una puerta trasera y un “dropper” (instalador). El programa malicioso envía información acerca del objetivo al servidor de comando y control, y recupera archivos de configuración y módulos adicionales que implementan alguna funcionalidad extra necesaria para los atacantes.