Expertos en seguridad de Trend Micro descubrieron una gran operación de ciberespionaje que ha puesto en peligro las computadoras de gobiernos, empresas de tecnología, medios de comunicación e instituciones investigadoras de más de cien países.

La mega operación de ciberespionaje, bautizada por Trend Micro como Safe, podría haber atacado a sus víctimas potenciales con correos de phishing y documentos adjuntos infectados. Los analistas de esta firma acaban de publicar los resultados de una amplia investigación con importantes hallazgos.

El estudio pone al descubierto dos grupos de servidores C&C (Command-and-Control) utilizados para dichas campañas de ataque separadas, con objetivos diferentes pero el mismo malware.

Uno de los ataques utiliza mensajes de phishing, con contenido relacionado con el Tibet y Mongolia, y archivos adjuntos .doc que explotan una vulnerabilidad de Word, parchada por Microsoft en 2012.

Tras acceder a los registros obtenidos por la primera campaña C&C, se reveló un total de 243 direcciones IP exclusivas atacadas en 11 países diferentes, mientras que el segundo ataque afectó a 11 mil 363 direcciones IP.

Sin embargo, el número real de víctimas de ambos ataques es probable que sea mucho menor, según los investigadores. En promedio, 71 usuarios estaban comunicando activamente con estos servidores C&C en el momento del análisis, reconocen los analistas.

Los cinco primeros países atacados, por número de víctimas, fueron India, Estados Unidos, China, Pakistán, Filipinas y Rusia.

El malware instalado en las PC infectadas está diseñado básicamente para robar información, pero su funcionamiento puede ser mejorado con módulos adicionales. Los investigadores encontraron componentes plug-in de propósito especial en los servidores de comando y control, además de programas que pueden utilizarse para extraer contraseñas guardadas de Explorer y Firefox, además de credenciales de escritorio remoto alojadas en Windows.

“Aunque la intención e identidad de los atacantes es difícil de determinar, sí está claro que la campaña Safe utiliza malware desarrollado por un ingeniero de software profesional que puede tener relación con las mafias de cibercrimen chinas”, llegan a reconocer los expertos de Trend Micro que también creen probado que “este individuo ha estudiado en una universidad técnica china y parece tener acceso al repositorio del código fuente de una compañía de servicios de Internet”, concluyen.