Kaspersky detecta un ciberataque dirigido a organizaciones industriales

Los atacantes aprovechan servicios legítimos de computación en la nube para gestionar malware e implementar procesos de ataque complejos de múltiples etapas para eludir los sistemas de detección de intrusiones. Mediante esto, los malhechores pueden propagar malware en el sistema de red de la víctima, instalar herramientas de control remoto, tomar el control del dispositivo, robar y eliminar información confidencial.

Báo Sài Gòn Giải phóng•20/03/2025

Kaspersky denominó la campaña SalmonSlalom para describir cómo los cibercriminales evadieron hábilmente las defensas de la red.

Los expertos de Kaspersky ICS CERT han descubierto una campaña de ciberataque dirigida a organizaciones industriales en la región Asia-Pacífico (APAC). La campaña estuvo dirigida a agencias gubernamentales y organizaciones de la industria pesada en varios países de la región Asia Pacífico (APAC), incluidos Taiwán (China), Malasia, China, Japón, Tailandia, Corea del Sur, Singapur, Filipinas y Vietnam.

Los piratas informáticos utilizan archivos comprimidos que contienen código malicioso, disfrazados de documentos relacionados con impuestos, para propagarse a través de campañas de phishing en correos electrónicos y aplicaciones de mensajería como WeChat y Telegram. Una vez instalado en el sistema el complejo proceso de instalación de malware multicapa, los ciberdelincuentes procederán a instalar una puerta trasera llamada FatalRAT.

Si bien la campaña comparte algunas similitudes con ataques anteriores que utilizaron malware de acceso remoto (RAT) de código abierto como Gh0st RAT, SimayRAT, Zegost y FatalRAT, los expertos han notado cambios significativos en las tácticas, técnicas y métodos de operación, todos los cuales han sido adaptados para atacar a organizaciones y agencias de habla china.

Imagen 1 de Kaspersky: Kaspersky descubrió un nuevo ataque a organizaciones industriales en APAC.jpg

Kaspersky denominó la campaña SalmonSlalom para describir cómo los cibercriminales evadieron hábilmente las defensas de la red con tácticas sofisticadas y métodos en constante cambio, de forma similar al salmón que nada a través de un viaje rápido y arduo que requiere resistencia e ingenio para superar los obstáculos.

Para proteger de forma proactiva a las organizaciones industriales pesadas de esta campaña de ataques, Kaspersky recomienda las siguientes medidas:

- Siempre habilite y requiera la autenticación de dos factores (2FA) al iniciar sesión en cuentas administrativas e interfaces web de soluciones de seguridad.

- Instalar las últimas versiones de las soluciones de seguridad centralizadas en todo el sistema y actualizar periódicamente las bases de datos antivirus y los módulos del programa.

- Actualizar la información sobre las últimas amenazas (por ejemplo, de Kaspersky Security Network) para grupos de sistemas que no tienen restringido por ley el uso de servicios de seguridad en la nube.

- Implementar sistemas de monitoreo de seguridad (SIEM) como Kaspersky Unified Monitoring and Analysis Platform…

Los ciberdelincuentes utilizan técnicas relativamente sencillas para lograr sus objetivos, incluso en entornos de tecnología operativa (TO). Esta campaña es una advertencia para las organizaciones de la industria pesada de la región APAC sobre la capacidad de los actores maliciosos para penetrar remotamente los sistemas TO. Las organizaciones deben concienciar sobre estas amenazas, reforzar sus defensas y responder de forma proactiva para proteger sus activos y datos de los ciberataques, afirmó Evgeny Goncharov, director de Kaspersky ICS CERT.

Kim Thanh