Los analistas de Kaspersky Lab han hallado que nuevos implantes de Miniduke, descubierto en 2013, están siendo utilizados en campañas activas dirigidas a gobiernos y otras entidades.
Además, la nueva plataforma de Miniduke, BotGenStudio, puede ser utilizada no solo por ciberdelincuentes siguiendo el estilo APT, sino también por fuerzas del orden y delincuentes tradicionales.
Aunque la campaña de Miniduke ATP se paró, o al menos redujo su intensidad, a raíz del anuncio realizado por Kaspersky Lab con su socio, CrySyS Lab, el año pasado, a comienzos de 2014 reanudaron los ataques con mucha intensidad. Esta vez, Kaspersky Lab ha detectado las diferentes formas de actuar que emplean los atacantes y las herramientas que utilizan.
El nuevo backdoor de Miniduke
Tras aparecer en 2013, Miniduke comenzó a usar otro backdoor personalizado, capaz de robar varios tipos de información. El malware simula aplicaciones populares diseñadas para ejecutarse en segundo plano, incluyendo información de archivo, iconos e incluso el tamaño del archivo.
Los nuevos backdoor principales de Miniduke (también conocido como TinyBaron o CosmicDuke) son capaces de extenderse en un marco personalizable llamado BotGenStudio, que cuenta con flexibilidad para habilitar o deshabilitar componentes. Sus componentes se dividen en tres grupos.
