Los ciberdelincuentes comparten malware y técnicas de ataque similares

Durante el análisis del servicio malicioso Crypters And Tools, el equipo de inteligencia de amenazas del Positive Technologies Expert Security Center (PT ESC) concluyeron que los grupos de ciberdelincuentes Aggah, Blind Eagle y TA558 podrían estar relacionados entre sí. Además, según la investigación, Aggah continúa llevando a cabo ataques, a pesar de que algunos expertos consideran que su actividad cesó en 2022.

Anteriormente, los especialistas de Positive Technologies descubrieron que los atacantes utilizaron Crypters And Tools para ocultar malware, y que el acceso al servicio se ofrecía bajo el modelo de suscripción CaaS (Crypter-as-a-Service). Como resultado del análisis, los expertos de PT ESC TI determinaron que al menos seis grupos conocidos —entre ellos Aggah, Blind Eagle y TA558— emplearon esta herramienta en sus campañas. Al estudiar las operaciones en las que se utilizó Crypters And Tools, los especialistas pudieron identificar a usuarios específicos del crypter asociados a los grupos TA558 y Blind Eagle.

En diversas campañas de Aggah y TA558 entre 2018 y 2024, los expertos de PT ESC TI observaron similitudes en las regiones objetivo, en el malware empleado y en los documentos utilizados (metadatos y macros). Además, ambos grupos de hackers hacían uso recurrente de la abreviatura C.D.T. Actividades relacionadas también se detectaron en operaciones atribuidas a Blind Eagle. Por ejemplo, los tres grupos atacaron países de América Latina y compartieron tanto la infraestructura de Crypters And Tools como parte del arsenal de malware (entre ellos Remcos RAT, AsyncRAT, NjRAT y LimeRAT).

"Muchos investigadores asumieron que ciertas características de Crypters And Tools eran exclusivas de un solo grupo de atacantes, lo que llevó a crear asociaciones incorrectas entre distintos grupos. Sin embargo, consideramos que el crypter es una entidad independiente y no una herramienta única de un grupo concreto", dice Aleksandr Badaev, Especialista en Inteligencia de Amenazas en el Positive Technologies Expert Security Center. "Por ejemplo, investigadores de Qi An Xin sugerían que Aggah podría ser una subgrupo de Blind Eagle basándose en diversas coincidencias. No descartamos esta posibilidad, pero creemos que muchas similitudes se explican simplemente por el uso compartido de Crypters And Tools. Un análisis más detallado revela diferencias claras entre los grupos".

Actualmente, los tres grupos siguen activos, incluida Aggah, que no había sido mencionada en informes públicos desde 2022. TA558 y Blind Eagle continúan utilizando Crypters And Tools, mientras que Aggah había dejado de hacerlo (o bien sus nuevas campañas se encuentran fuera del alcance de observación de PT ESC TI).

Los especialistas de Positive Technologies destacan el creciente interés de los ciberdelincuentes por el malware comercial listo para usar, como Crypters And Tools. Para protegerse frente a estas amenazas, las organizaciones deben implementar soluciones avanzadas de análisis de tráfico de red, protección de endpoints y capacitar a sus empleados para reconocer ataques de ingeniería social.