Microsoft ha revelado una campaña de ciberespionaje llevada a cabo por el grupo ruso Secret Blizzard, respaldado por el Estado, que ha estado atacando embajadas extranjeras en Moscú mediante técnicas sofisticadas de “adversario en el medio” (Adversary-in-the-Middle, AitM) ejecutadas a nivel de proveedor de servicios de internet (ISP).

Activo desde al menos 2006, Secret Blizzard —también conocido como Turla, Krypton, Venomous Bear, o Waterbug— tiene un historial bien documentado de operaciones de espionaje cibernético al servicio del Servicio Federal de Seguridad de Rusia (FSB). Esta es la primera vez que se confirma su capacidad para operar directamente a nivel de infraestructura ISP dentro de Rusia.

Según Microsoft, los atacantes aprovecharon herramientas de interceptación del gobierno ruso, como SORM (Sistema para Actividades de Investigación Operativa), para posicionarse dentro de los proveedores de internet y lanzar ataques AitM que permitieron distribuir malware personalizado, denominado ApolloShadow, a los dispositivos del personal diplomático.

¿Cómo funciona el ataque?

La campaña redirigía a las víctimas a través de un portal cautivo, una página legítima utilizada para gestionar el acceso a la red. Durante este proceso, el sistema iniciaba una prueba de conectividad, redirigiendo al navegador del usuario a un dominio controlado por los atacantes. Este dominio mostraba un error de certificado que desencadenaba la ejecución de ApolloShadow y la instalación de un certificado raíz falso de Kaspersky, que otorgaba privilegios elevados en el sistema comprometido.

Una vez instalado, ApolloShadow realiza las siguientes acciones:

• Intenta eludir el Control de Cuentas de Usuario (UAC) si se ejecuta con privilegios limitados.
• Manipula al usuario para obtener acceso administrativo completo.
• Modifica configuraciones del sistema para marcar todas las redes como privadas, activar la detección del dispositivo y habilitar el uso compartido de archivos.
• Instala certificados raíz mediante certutil, elimina archivos temporales, configura Firefox para confiar en los certificados maliciosos.
• Crea un usuario administrativo persistente llamado UpdatusUser con una contraseña predefinida que nunca expira.

¿Quiénes están en riesgo?

Microsoft advierte que todo el personal diplomático que utilice servicios de internet o telecomunicaciones locales en Rusia es potencialmente vulnerable a esta campaña. Esto refuerza la urgencia de no confiar en infraestructuras locales no cifradas, especialmente en regiones de alto riesgo geopolítico.

Recomendaciones para mitigar el riesgo

Para protegerse frente a este tipo de amenazas, Microsoft recomienda:

• Redirigir todo el tráfico a través de túneles cifrados o servicios VPN confiables.
• Aplicar el principio de menor privilegio en todas las cuentas y sistemas.
• Habilitar la autenticación multifactor (MFA).
• Auditar y revisar regularmente las cuentas con privilegios elevados.
• Bloquear la ejecución de scripts y archivos ejecutables no autorizados.
• Mantener las soluciones de protección de endpoints actualizadas y activas.

Este incidente resalta las capacidades avanzadas de los actores estatales y la necesidad crítica de contar con estrategias de ciberseguridad robustas, especialmente para organizaciones que operan en contextos sensibles.

Fuente: https://www.securityweek.com/russian-cyberspies-target-foreign-embassies-in-moscow-via-aitm-attacks-microsoft