Hoy, como parte de nuestro Informe trimestral de amenazas, compartimos una serie de actualizaciones de seguridad, incluido nuestro informe de amenazas adversarias del primer trimestre y un análisis de nuestro desempeño contra las campañas de malware.
Durante los últimos cinco años, hemos compartido nuestros hallazgos sobre las amenazas que detectamos y mitigamos con nuestras tecnologías. En este informe de amenazas, compartimos información sobre seis redes que hemos desconectado por violar nuestra política de mala fe coordinada (CIB) y tres operaciones de ciberespionaje contra las que hemos tomado medidas. Hemos compartido nuestros hallazgos con socios de la industria, investigadores y legisladores. Estos son los puntos clave de nuestro informe de amenazas adversarias del primer trimestre de 2023:
Hemos tomado medidas contra tres operaciones de ciberespionaje en el sur de Asia. Uno estaba asociado con un grupo de piratas informáticos conocido en la industria de la seguridad como Bahamut APT (amenaza persistente avanzada), otro con un grupo conocido como Patchwork APT y otro con figuras vinculadas al estado en Pakistán. Esto es lo que tiene de especial nuestra investigación de amenazas:
- Diversificación de los esfuerzos de ingeniería social: estos APT se basaron en gran medida en la ingeniería social e invirtieron en hacer que algunas de sus cuentas falsas parecieran los personajes ficticios más variados y complejos que crearon en línea para que pudieran resistir el escrutinio de sus objetivos, plataformas e investigadores. Si bien los hemos visto continuar usando señuelos tradicionales, como mujeres que buscan romance, también se han hecho pasar por reclutadores, periodistas o personal militar.
- Dependencia constante de malware no sofisticado: esta inversión en ingeniería social significa que los atacantes no tienen que invertir tanto en el desarrollo de malware. Nuestra investigación sobre estas APT ha demostrado que el malware más barato y menos sofisticado puede ser efectivo para atacar a las personas cuando se usa junto con la ingeniería social. De hecho, para dos de estas operaciones, vimos una disminución de las capacidades maliciosas en sus aplicaciones, lo que probablemente aseguró su publicación en las tiendas de aplicaciones oficiales.
- Impacto de las interrupciones públicas y los informes de amenazas: en respuesta a que la comunidad de seguridad continúa interrumpiendo estas APT, estos grupos se han visto obligados a crear una nueva infraestructura, cambiar de táctica e invertir más en ocultar y diversificar sus operaciones para sobrevivir, lo que probablemente a empeorar su rendimiento.
También detuvimos seis operaciones de influencia encubiertas por violar nuestra política CIB. Estas redes desconectadas se originaron en EE. UU., Venezuela, Irán, China, Georgia, Burkina Faso y Togo. Más de la mitad de ellos están dirigidos a audiencias fuera de sus países. Eliminamos la mayoría de estas operaciones antes de que pudieran crear una audiencia real. Esto es lo que tiene de especial nuestra investigación de amenazas:
- Creación de organizaciones ficticias en Internet. En un intento por ganar credibilidad, casi todas estas operaciones han tenido como objetivo establecer organizaciones falsas, incluidas organizaciones de medios de comunicación, grupos de hacktivistas y ONG. Han trabajado en muchos servicios, incluidos Facebook, Twitter, Telegram, YouTube, Medium, TikTok, Blogspot, Reddit, WordPress, freelance.[.]com, foros de hackers y sus propios sitios web.
- Hacktivistas falsos de Irán. La operación de Irán lanzó denuncias de organizaciones de piratería en Israel, Bahrein y Francia, incluidos medios de comunicación, empresas de logística y transporte, instituciones educativas, un aeropuerto, un servicio de citas y una agencia gubernamental. Esta no es la primera vez que una operación iraní afirma haber pirateado sistemas gubernamentales; Otra red CIB hizo una afirmación similar que eliminamos antes de las elecciones estadounidenses de 2022.
- Operaciones de empleo: como hemos indicado en nuestros informes anteriores, seguimos viendo organizaciones de empleo detrás de operaciones de influencia encubiertas en todo el mundo, y la mitad de las redes en este informe son organizaciones privadas. Esto incluye una empresa de TI en China, una empresa de marketing en los EE. UU. y una consultoría de marketing político en la República Centroafricana.
- Evolución de las operaciones desde China: En este informe, el número total de redes CIB de origen chino que hemos eliminado desde 2017 ha llegado a seis, con la mitad de ellas registradas en los últimos siete meses. Estas últimas desactivaciones señalan un cambio en la naturaleza de las operaciones CIB en China que hemos identificado con nuevos actores de amenazas, nuevos objetivos geográficos y nuevas tácticas hostiles. Sin embargo, continuamos encontrándolos y eliminándolos antes de que puedan construir su audiencia. Estas redes han experimentado con una variedad de tácticas que no habíamos visto anteriormente en operaciones en China, aunque las hemos visto en otros lugares a lo largo de los años, incluidas operaciones que involucran granjas de trolls y empresas de marketing y relaciones públicas. Las acciones recientes han incluido la creación de una empresa de medios de fachada en Occidente, la contratación de escritores independientes en todo el mundo, la oferta de reclutar manifestantes y la asociación con ONG en África.
Sabemos que las amenazas adversarias seguirán evolucionando en respuesta a nuestra aplicación y que surgirán nuevos tipos de comportamiento malicioso. Continuaremos mejorando nuestra aplicación y publicaremos nuestros hallazgos.
Estamos avanzando en la erradicación de este abuso; es un esfuerzo continuo y estamos comprometidos con la mejora continua para mantenernos a la vanguardia.
Para obtener más información, consulte el informe completo sobre amenazas adversarias.
