Actor amenazante de Star Blizzard: una fuerza persistente de ciberespionaje

WhatsApp Hoax

Otra táctica en una campaña cibernética en curso

A medida que el panorama de las amenazas cibernéticas continúa evolucionando, un nombre que aparece con frecuencia en los debates sobre la actividad cibernética impulsada por el espionaje es Star Blizzard. Este actor de amenazas, que se cree está vinculado a operaciones rusas, se ha centrado históricamente en la recolección de credenciales. Sin embargo, recientemente ha habido un cambio en sus métodos, con otra campaña dirigida a cuentas de WhatsApp mediante sofisticadas técnicas de phishing selectivo. Esta adaptación sugiere un esfuerzo por evitar la detección y mantener el acceso a información confidencial.

Los objetivos detrás de las operaciones de Star Blizzard

Star Blizzard, conocida anteriormente con varios alias como SEABORGIUM y BlueCharlie, lleva más de una década activa. Sus principales objetivos son personas y organizaciones relacionadas con el gobierno, la diplomacia, la política de defensa y las relaciones internacionales, en particular las que se centran en asuntos rusos y en las iniciativas de asistencia relacionadas con Ucrania. Entre los afectados por sus actividades también se encuentran investigadores, periodistas y ONG.

El objetivo final de este grupo es infiltrarse en las comunicaciones, extraer datos confidenciales y obtener inteligencia estratégica. Al comprometer las credenciales e interceptar las conversaciones, Star Blizzard pretende mantener un acceso constante a sus objetivos, lo que permite una mayor recopilación de datos y posibles operaciones de influencia.

Cómo opera el actor de la amenaza

Las campañas anteriores de Star Blizzard giraban principalmente en torno a correos electrónicos de phishing dirigidos a engañar a los destinatarios para que revelaran sus credenciales de inicio de sesión. Por lo general, estos correos electrónicos provenían de cuentas registradas en servicios de correo electrónico seguros como ProtonMail. Los mensajes incluían enlaces que conducían a páginas engañosas creadas con tácticas de adversario en el medio (AiTM), lo que permitía a los atacantes interceptar los detalles de inicio de sesión y los códigos de autenticación de dos factores (2FA).

En ataques anteriores, Star Blizzard también utilizó servicios legítimos de marketing por correo electrónico como HubSpot y MailerLite para ocultar la identidad de los remitentes y eludir los filtros de seguridad. Este enfoque les permitió enviar mensajes engañosos sin depender de dominios vinculados directamente con la operación.

Una de las principales disrupciones de estos esfuerzos se produjo cuando Microsoft y el Departamento de Justicia de los EE. UU. tomaron medidas para confiscar más de 180 dominios asociados con el actor de amenazas. Estos dominios se habían utilizado para facilitar ataques contra objetivos de alto perfil desde enero de 2023 hasta agosto de 2024. Sin embargo, esta disrupción no marcó el final de las actividades de Star Blizzard; en cambio, impulsó al grupo a refinar sus tácticas.

El cambio hacia la explotación de WhatsApp

A fines de 2024, los informes indicaron que Star Blizzard había ampliado sus técnicas para incluir el secuestro de cuentas de WhatsApp. Esto marcó un cambio significativo con respecto a sus métodos anteriores y subrayó la adaptabilidad del grupo.

La campaña comenzó con correos electrónicos de phishing que se hacían pasar por comunicaciones de funcionarios del gobierno de Estados Unidos. Estos correos electrónicos contenían códigos QR que supuestamente invitaban a los destinatarios a un grupo de WhatsApp dedicado a apoyar iniciativas humanitarias. Los códigos QR se rompían deliberadamente, lo que incitaba a los destinatarios a responder al correo electrónico para solicitar ayuda.

Una vez que el destinatario respondía, recibía un mensaje secundario que lo dirigía a un enlace acortado. Al hacer clic en este enlace, se lo dirigía a una página web que mostraba un código QR diseñado para conectar cuentas de WhatsApp a dispositivos adicionales. Al escanear este código, las víctimas, sin saberlo, otorgaban a Star Blizzard acceso no autorizado a sus cuentas de WhatsApp, lo que potencialmente exponía conversaciones privadas e información confidencial.

Las implicaciones de las actividades de Star Blizzard

Las tácticas cambiantes de Star Blizzard ponen de relieve la amenaza persistente que suponen los grupos de ciberespionaje. Los ataques contra entidades gubernamentales y diplomáticas indican un esfuerzo continuo por reunir información que pueda aprovecharse con fines geopolíticos. Además, el uso de WhatsApp como vector de ataque plantea inquietudes sobre la seguridad de las plataformas de comunicación ampliamente utilizadas por profesionales y organizaciones.

Si bien esta campaña en particular parecía concluir a fines de noviembre de 2024, el cambio de estrategia demuestra la adaptabilidad del grupo. La capacidad de adoptar nuevos métodos cuando se interrumpen las operaciones existentes garantiza que Star Blizzard siga siendo una amenaza cibernética formidable.

Fortaleciendo las defensas contra ataques selectivos

Se recomienda a quienes operan en sectores que son frecuentemente atacados por Star Blizzard que permanezcan alertas. Reconocer las características de los correos electrónicos de phishing selectivo, verificar las comunicaciones inesperadas y evitar interacciones con códigos QR no solicitados o enlaces acortados puede ayudar a reducir la exposición a tales amenazas.

Los profesionales de seguridad también recomiendan habilitar la autenticación multicapa siempre que sea posible, en particular para las cuentas que manejan comunicaciones confidenciales. A medida que los actores de amenazas perfeccionan sus técnicas, las medidas proactivas siguen siendo esenciales para proteger los activos y las comunicaciones digitales del acceso no autorizado.

Reflexiones finales

Las actividades en curso de Star Blizzard nos recuerdan la naturaleza cambiante de las amenazas cibernéticas. La capacidad del grupo para cambiar de táctica en respuesta a las interrupciones enfatiza la importancia de la vigilancia continua y las estrategias de seguridad adaptativas. Mientras las empresas de seguridad cibernética y de cumplimiento de la ley trabajan para mitigar dichas amenazas, las organizaciones y las personas deben seguir siendo proactivas a la hora de identificar y contrarrestar las sofisticadas campañas de ciberespionaje.

En Willa
January 17, 2025
Android Malware, Phishing
Spanish
January 17, 2025
Android Malware, Phishing

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.