El equipo de investigación de ESET descubrió dos backdoors previamente desconocidos, a los que denominamos LunarWeb y LunarMail, que comprometían a un ministerio de asuntos exteriores europeo y a sus misiones diplomáticas en el extranjero, principalmente en Oriente Medio. ESET cree que el conjunto de herramientas Lunar se ha utilizado desde al menos 2020 y, dadas las similitudes entre las tácticas, técnicas y procedimientos y las actividades anteriores, los investigadores de ESET atribuyen estos ciberataques, con una confianza media, al infame grupo de ciberespionaje Turla, alineado con Rusia. El objetivo de la campaña es el ciberespionaje.
La investigación de ESET comenzó con la detección de una amenaza con función de cargador de malware desplegado en un servidor no identificado, que descifra y carga un payload desde un archivo. Esto llevó a los investigadores de ESET al descubrimiento de un backdoor desconocido hasta entonces, al que ESET denominó LunarWeb. Posteriormente, se detectó una cadena de infección similar con LunarWeb desplegada en una misión diplomática. Cabe destacar que el atacante también incluyó un segundo backdoor -que ESET denominó LunarMail- que utiliza un método diferente para las comunicaciones con el centro de mando y control (C&C).
Durante otro ataque, ESET observó despliegues simultáneos de una cadena de infección con LunarWeb en tres misiones diplomáticas de un país europeo en Oriente Medio, que se produjeron con pocos minutos de diferencia. El atacante probablemente tenía acceso previo al controlador de dominio del Ministerio de Asuntos Exteriores y lo utilizó para el movimiento lateral a máquinas de instituciones relacionadas en la misma red.
LunarWeb, desplegado en servidores, utiliza HTTP(S) para sus comunicaciones con el C&C e imita peticiones legítimas, mientras que LunarMail, desplegado en estaciones de trabajo, persiste como un complemento de Outlook y utiliza mensajes de correo electrónico para sus comunicaciones con el C&C. Ambos backdoors emplean la esteganografía, una técnica en la que los comandos se ocultan en imágenes para evitar su detección. Sus cargadores pueden ser de diversas formas, incluido el software de código abierto troyanizado, lo que demuestra las avanzadas técnicas utilizadas por los atacantes.
