{"id":1144,"date":"2023-02-24T13:13:13","date_gmt":"2023-02-24T16:13:13","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=1144"},"modified":"2025-03-11T11:08:10","modified_gmt":"2025-03-11T14:08:10","slug":"dark-caracal-000000000000000000001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/dark-caracal-000000000000000000001\/","title":{"rendered":"Dark Caracal 2023: ahora en Am\u00e9rica Latina"},"content":{"rendered":"

En 2018, EFF junto con investigadores de Lookout Security\u00a0publicaron un informe<\/a>\u00a0que describe la amenaza persistente avanzada (APT) que denominamos “Dark Caracal”.<\/h2>\n

Ahora han descubierto una nueva campa\u00f1a Dark Caracal que opera desde marzo de 2022, con cientos de infecciones en m\u00e1s de una docena de pa\u00edses.<\/p>\n

En este informe presentaron evidencias de que el grupo de mercenarios cibern\u00e9ticos Dark Caracal sigue activo y sigue enfocado en Am\u00e9rica Latina, como se inform\u00f3 el a\u00f1o pasado<\/a>\u00a0.<\/p>\n

\"Dark<\/a>
Dark Caracal<\/figcaption><\/figure>\n

Han descubierto que Dark Caracal, utilizando el spyware Bandook, actualmente est\u00e1 infectando m\u00e1s de 700 computadoras en Am\u00e9rica Central y del Sur, principalmente en la Rep\u00fablica Dominicana y Venezuela.<\/p>\n

En el informe original de 2018, describieron una campa\u00f1a dirigida a miles de ciudadanos libaneses con varias familias de malware diferentes.<\/p>\n

Incluido un nuevo troyano de acceso remoto m\u00f3vil que llamaron Pallas y un troyano de acceso remoto de Windows llamado Bandook.<\/p>\n

A trav\u00e9s de esta investigaci\u00f3n, pudieron cerrar la campa\u00f1a de malware y notificar a varias de las v\u00edctimas.<\/p>\n

El informe Operation Manul<\/a>\u00a0estableci\u00f3 que los actores detr\u00e1s de la campa\u00f1a estaban trabajando con los gobiernos de L\u00edbano y Kazajst\u00e1n.<\/p>\n

La variedad de objetivos y la aparente participaci\u00f3n de m\u00faltiples gobiernos a lo largo de las campa\u00f1as los llev\u00f3 a creer que Dark Caracal es un grupo de mercenarios cibern\u00e9ticos o hackers.<\/p>\n

Desde el informe original de Dark Caracal, ha habido m\u00faltiples informes sobre sus actividades continuas.<\/p>\n

Checkpoint Research\u00a0escribi\u00f3 sobre una campa\u00f1a en 2020 y continuamos siguiendo las actividades de Dark Caracal con su informe m\u00e1s reciente, tambi\u00e9n en 2020<\/a> . M\u00e1s recientemente.<\/p>\n

ESET escribi\u00f3 sobre las actividades de Dark Caracal en Am\u00e9rica Latina en su informe\u00a0Bandidos at Large<\/a>\u00a0.<\/p>\n

Dark Caracal est\u00e1 lejos de ser el \u00fanico grupo de malware que actualmente apunta a Am\u00e9rica Latina.<\/p>\n

El\u00a0grupo de malware Quantum apunt\u00f3\u00a0al Ministerio de Agricultura de la Rep\u00fablica Dominicana en 2022.<\/p>\n

La Rep\u00fablica Dominicana tambi\u00e9n es un\u00a0cliente informado del grupo NSO<\/a>\u00a0.<\/p>\n

Dada la historia de Dark Caracal de trabajar con gobiernos nacionales, como Kazajst\u00e1n y L\u00edbano, en campa\u00f1as con motivaciones pol\u00edticas.<\/p>\n

Es posible que la nueva campa\u00f1a que se describe a continuaci\u00f3n tambi\u00e9n sea a instancias de un actor del gobierno, pero sin m\u00e1s informaci\u00f3n sobre a qui\u00e9n pertenecen las computadoras infectadas.<\/p>\n

Aun, no pudieron sacar ninguna conclusi\u00f3n en cuanto a la motivaci\u00f3n de estos ataques.<\/p>\n

Independientemente, hacemos un llamado a los legisladores y reguladores de Am\u00e9rica del Sur y Central para que est\u00e9n atentos al spyware de Dark Caracal.<\/p>\n

Ya que este y otros spyware similares se han utilizado para cometer graves violaciones de los derechos humanos.<\/p>\n

Una y otra vez, los estados-naci\u00f3n y los cibermercenarios han utilizado spyware para atacar a activistas<\/a>\u00a0,\u00a0defensores de los derechos humanos<\/a>\u00a0y\u00a0periodistas<\/a><\/strong> cuyo trabajo real es descubrir las irregularidades de los gobiernos.<\/p>\n

Dichos ataques han resultado en una lista cada vez mayor de ejecuciones extrajudiciales de periodistas y defensores de los derechos humanos.<\/p>\n

Los gobiernos deber\u00edan considerar pedir una moratoria sobre el uso gubernamental de estas tecnolog\u00edas de malware, apoyar la investigaci\u00f3n de seguridad inform\u00e1tica y los derechos humanos para todos.<\/p>\n

Incluida la transparencia, la rendici\u00f3n de cuentas y la reparaci\u00f3n de las v\u00edctimas.<\/p>\n

Los gobiernos deben reconocer que la hostilidad del gobierno hacia la seguridad de los dispositivos es peligrosa para su gente.<\/p>\n

Si un gobierno puede usar malware contra civiles bajo un gobierno rival, no hay nada que impida que el gobierno rival haga lo mismo.<\/p>\n

Los gobiernos deber\u00edan centrarse en mejorar la seguridad inform\u00e1tica y proteger los derechos de sus ciudadanos a la libertad de expresi\u00f3n.<\/p>\n

Este informe se suma a un cuerpo de trabajo que expone a los mercenarios cibern\u00e9ticos y tal vez convenza de una vez, a los legisladores.<\/p>\n

Sobre que los mercenarios cibern\u00e9ticos y la pirater\u00eda inform\u00e1tica del estado-naci\u00f3n son realmente una amenaza global para los derechos humanos y la sociedad civil.<\/p>\n

Aparece una nueva campa\u00f1a<\/h3>\n

Recientemente han descubierto una nueva versi\u00f3n del malware Bandook, que se ha actualizado para tener 148 comandos \u00fanicos que puede enviar a la computadora infectada, mucho m\u00e1s que los 120 disponibles en muestras anteriores.<\/p>\n

Esta muestra y las muestras relacionadas parecen ser parte de una campa\u00f1a que comenz\u00f3 en marzo de 2022, utilizando un nuevo servidor de comando y control\u00a0 en el dominio deapproved[.]ru<\/code>.<\/p>\n

En el informe “Bandidos at Large”, los investigadores de ESET detallaron un mecanismo dentro de Bandook para descargar DLL de Windows desde un dominio secundario al servidor principal de comando y control.<\/p>\n

Al analizar las muestras que obtuvieron, encontraron que en este caso el mecanismo de descarga de DLLs adicionales apuntaba al dominio unclesow[.]com<\/code>.<\/p>\n

Sin embargo, al investigar, se dieron cuenta de que el dominio unclesow.com a\u00fan no hab\u00eda sido registrado.<\/p>\n

Pensaron que este dominio podr\u00eda proporcionar informaci\u00f3n sobre las actividades de Dark Caracal, por lo que lo registraron y configuraron un sumidero.<\/p>\n

Una suerte de servidor que aloja un dominio que anteriormente pertenec\u00eda a una campa\u00f1a de malware para proteger las computadoras infectadas y recopilar informaci\u00f3n.<\/p>\n

Unclesow[.]com\u00a0est\u00e1 actualmente alojado por EFF.<\/p>\n

Desde que registraron ese dominio, han recopilado informaci\u00f3n agregada sobre las v\u00edctimas de esta campa\u00f1a de malware.<\/p>\n

Seg\u00fan los registros de tr\u00e1fico diarios, parece haber entre 600 y 800 m\u00e1quinas infectadas en cualquier momento, principalmente en Am\u00e9rica Central y del Sur.<\/p>\n

Dado que cada infecci\u00f3n de Bandook se conecta al dominio secundario varias veces al d\u00eda, los investigadores est\u00e1n seguros de que estan viendo todas las infecciones de esta campa\u00f1a actual.<\/p>\n

Debido a la preocupaci\u00f3n por la privacidad de las v\u00edctimas de esta campa\u00f1a de malware, han configurado el servidor para eliminar los registros despu\u00e9s de cuatro semanas y recopilar la informaci\u00f3n m\u00ednima necesaria\u00a0.<\/p>\n

El mismo d\u00eda que configuraron las entradas de DNS para unclesow[.]com, varios otros dominios que se hab\u00edan registrado previamente ten\u00edan su DNS repentinamente apuntado al mismo servidor<\/a>\u00a0que alojaba a unclesow.<\/p>\n

Hab\u00eda 6 dominios apuntados autom\u00e1ticamente a dicho servidor:<\/p>\n

setsizee[.]com \r\nseconsave[.]com \r\nscanlostt[.]com \r\ncordura[.]biz \r\nEmail-securlink[.]com \r\ngoadaaddy[.]com<\/pre>\n
Seg\u00fan el momento y la aparente naturaleza relacionada con el phishing de estos dominios, sospechan que se trat\u00f3 de un proceso autom\u00e1tico, posiblemente creado por las mismas personas que ejecutan la campa\u00f1a Dark Caracal.<\/p>\n
Unos d\u00edas despu\u00e9s, varios de los dominios apuntaron a una nueva direcci\u00f3n IP que no estaba bajo el control de los investigadores.<\/p>\n
Sin embargo, tres de los dominios (seconsave[.]com, scanlostt[.]com y sensity[.]biz) siguen apuntando al servidor sumidero.<\/p>\n
Pudieron identificar varios otros dominios relacionados que estaban alojados en otros servidores al mismo tiempo que estos dominios (cuando no apuntaban a nuestro sumidero).<\/p>\n
La conexi\u00f3n de estos dominios con la campa\u00f1a actual de Dark Caracal no est\u00e1 clara.<\/p>\n
Pueden ser para una campa\u00f1a diferente u otro prop\u00f3sito.<\/p>\n
Las t\u00e1cticas, las herramientas y los procedimientos utilizados no coinciden, ya que los dominios anteriores est\u00e1n alojados en DigitalOcean registrados con NameCheap.<\/p>\n
Los cuales no se mencionan en las muestras de Bandook, mientras que los que s\u00ed est\u00e1n alojados con el proveedor de alojamiento a prueba de balas OvO [ovo.sc], y registrados con una empresa llamada 1984 [1984.is].<\/p>\n
Adem\u00e1s, no observaron ning\u00fan tr\u00e1fico interesante o tr\u00e1fico indicativo de una infecci\u00f3n de Bandook en ninguno de los dominios apuntados al sumidero que no sea unclesow[.]com.<\/p>\n
La \u00fanica conexi\u00f3n con esta campa\u00f1a para estos dominios es el hecho de que apuntaron al sumidero autom\u00e1ticamente cuando lo configuramos.<\/p>\n
Por ahora sigue siendo un misterio.<\/p>\n
Desde que registramos el dominio\u00a0unclesow[.]com\u00a0, los atacantes han cambiado el dominio de comando y control dos veces, primero a\u00a0cudenpower.co\u00a0y luego a\u00a0bomes[.]ru\u00a0.<\/p>\n
Sin embargo, en ambos casos y hasta el d\u00eda de hoy, no han cambiado el dominio de infecci\u00f3n secundario de unclesow[.]com, por lo que el sumidero contin\u00faa funcionando incluso para nuevas muestras de malware.<\/p>\n
No est\u00e1 claro si los operadores de malware se dan cuenta de que los investigadores controlan su dominio secundario en este momento.<\/p>\n
Bandook sigue evolucionando<\/h3>\n
Las versiones de Bandook que utiliza esta campa\u00f1a parecen ser m\u00e1s nuevas que las utilizadas en las \u00faltimas campa\u00f1as informadas por ESET.<\/p>\n
La primera etapa del malware ha pasado de usar\u00a0GOST<\/a>\u00a0para el cifrado de la carga \u00fatil a usar DES para el cifrado de su carga \u00fatil de la segunda etapa.<\/p>\n
La clave para el descifrado se deriva de una frase de contrase\u00f1a al codificarla con el algoritmo RIPEMD-128.<\/p>\n
Adem\u00e1s, el malware contiene 148 comandos posibles que puede enviar a la computadora infectada desde el servidor de comando y control en lugar de los 132 anteriores en las muestras analizadas por ESET.<\/p>\n
Los comandos incluyen capacidades tales como:<\/p>\n