Kaspersky Lab ha registrado un ejemplo raro e inusual de un ciberataque atacando a otro. En 2014, Hellsing, un pequeño y técnicamente mediocre grupo ciberespionaje dirigido principalmente a organizaciones gubernamentales y diplomáticas en Asia, fue sometido a un ataque de phishing por parte de otro actor y decidió contraatacar.
Kaspersky Lab considera que esto podría marcar el surgimiento de una nueva tendencia en la actividad cibercriminal: las guerras APT.
El descubrimiento fue realizado por los expertos de Kaspersky Lab durante la investigación de Naikon, un grupo de ciberespionaje también dirigido organizaciones de la región Asia-Pacífico.
Los expertos notaron que uno de los objetivos de Naikon había descubierto el intento de infectar sus sistemas con un correo electrónico de phishing que llevaba un archivo malicioso adjunto.
El receptor (objetivo de los ciberdelincuentes) puso en duda la autenticidad del correo electrónico y no abrió el archivo adjunto. Poco después, el receptor reenvió de vuelta al remitente un correo electrónico que contenía el malware recibido. Esto desencadenó la investigación de Kaspersky Lab y condujo al descubrimiento del grupo APT Hellsing.
El método de contraataque indica que Hellsing quiso identificar al grupo Naikon y reunir información sobre el mismo. Un análisis más profundo del actor amenaza Hellsing revela un rastro de correos electrónicos phishing lanzados con archivos adjuntos maliciosos diseñados para propagar malware destinado al espionaje entre diferentes organizaciones.
Si la víctima abría el archivo adjunto malicioso, su sistema se infectaba con un backdoor personalizado capaz de descargar y cargar archivos, actualización y desinstalación de sí mismo. Según las observaciones de Kaspersky Lab, el número de organizaciones atacadas por Hellsing es de unas 20.
