ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto las actividades de un nuevo grupo APT denominado BackdoorDiplomacy que estaría atacando los Ministerios de Asuntos Exteriores de diferentes países de Oriente Medio y África, así como varias empresas de telecomunicaciones.
Los ataques de BackdoorDiplomacy se inician a partir de aplicaciones o servidores web vulnerables en los que se instala una backdoor personalizada y que ESET ha denominado Turian. BackdoorDiplomacy puede detectar unidades extraíbles, sobre todo USB, y copiar sus contenidos en la papelera de reciclaje de la unidad principal.
“BackdoorDiplomacy comparte tácticas, técnicas y procedimientos con otros grupos que operan en Asia. Turian es la evolución natural de Quarian, la backdoor que ya observamos en 2013 atacando misiones diplomáticas en Siria y Estados Unidos”, alerta Jean-Ian Boutin, el responsable de investigación sobre amenazas en ESET que ha trabajado en la investigación junto a Adam Burgher, analista senior de inteligencia sobre amenazas en ESET.
El protocolo de cifrado de red de Turian es muy parecido al protocolo de cifrado de red utilizado por Whitebird, una backdoor operada por Calypso, otro grupo asiático. Whitebird se utilizó en organizaciones diplomáticas de Kazajstán y Kirguistán durante los mismos años que BackdoorDiplomacy (entre 2017 y 2020).
