El GREAT de Kaspersky Lab ha descubierto Termita Azul – una campaña de ciberespionaje que dirigida a cientos de organizaciones en Japón durante al menos dos años.
Los ciberatacantes buscaban información confidencial y utilizaban un exploit zero-day en Flash Player y un sofisticado backdoor que se personalizaba para cada víctima. Esta es la primera campaña descubierta por Kaspersky Lab que se centra de forma exclusiva en objetivos japoneses – y sigue estando activa.
En octubre de 2014, los analistas de Kaspersky Lab encontraron una muestra de malware nunca antes vista, que destacaba entre las demás debido a su complejidad. Un análisis más detallado ha demostrado que esta muestra es sólo una pequeña parte de una campaña de ciberespionaje grande y sofisticado.
La lista de objetivos incluye organizaciones no gubernamentales, industria pesada, química, sector financiero, medios de comunicación, organizaciones educativas, sanitarias, la industria de alimentos y otros.
Diversas técnicas de infección
Para infectar a sus víctimas, Termita Azul utiliza varias técnicas. Antes de julio de 2015, para la mayoría de los ataques se utilizaba spear-phishing emails – envío de software malicioso como archivo adjunto en un mensaje de correo electrónico con contenido atractivo para la víctima.
Sin embargo, en julio cambiaron de táctica y comenzaron a difundir malware a través de un exploit Flash zero-day (CVE-2015-5119, el exploit se filtró por el incidente de Hacking Team a principios de este verano). Los ciberdelincuentes han comprometido varios sitios web japoneses y los visitantes de estas webs se descargaban automáticamente un exploit que infectaba el equipo. Esto se conoce como la técnica drive-by-download.
