A mediados de noviembre de 2024, Microsoft Threat Intelligence detectó un cambio en las tácticas del grupo de amenazas ruso conocido como Star Blizzard. Este actor de amenazas comenzó a enviar mensajes de phishing, esta vez ofreciendo unirse a un grupo de WhatsApp, lo que marcó la primera vez que utilizó este vector de acceso. Los objetivos de Star Blizzard suelen estar relacionados con el gobierno, diplomacia, investigación de políticas de defensa y relaciones internacionales, especialmente aquellos individuos que se puedan relacionar con Rusia.
Desde enero de 2023 hasta agosto de 2024, Star Blizzard llevó a cabo ataques selectivos a organizaciones de la sociedad civil, como periodistas y ONG, para robar información confidencial e interferir en sus actividades. Aunque Microsoft y el Departamento de Justicia de EE.UU. incautaron más de 180 sitios web relacionados con estos ataques en octubre de 2024, el grupo trasladó rápidamente sus operaciones a nuevos dominios.
El cambio hacia el uso de WhatsApp podría ser una respuesta al aumento de la visibilidad de sus técnicas, y aunque esta campaña parece haber terminado a fines de noviembre, este cambio sugiere que Star Blizzard está adaptando sus tácticas para evadir la detección. Microsoft continúa monitoreando y analizando estas amenazas, y comparte información para ayudar a las organizaciones a reforzar su ciberseguridad y protegerse de ataques similares.
La nueva campaña de phishing de Star Blizzard, si bien es novedosa porque utiliza y ataca WhatsApp por primera vez, presenta los conocidos TTP de phishing de Star Blizzard, en los que el actor de amenazas inicia un contacto por correo electrónico con sus objetivos para interactuar con ellos, antes de enviarles un segundo mensaje que contiene un enlace malicioso. La dirección de remitente utilizada por el actor de amenazas en esta campaña se hace pasar por un funcionario del gobierno de los EE. UU., lo que continúa con la práctica de Star Blizzard de hacerse pasar por figuras políticas y diplomáticas conocidas, para garantizar aún más la interacción con el objetivo. El correo electrónico inicial enviado a los objetivos contiene un código de respuesta rápida (QR) que pretende indicar a los usuarios que se unan a un grupo de WhatsApp sobre "las últimas iniciativas no gubernamentales destinadas a apoyar a las ONG de Ucrania". Sin embargo, este código está roto intencionalmente y no dirigirá al usuario a ningún dominio válido; este es un esfuerzo para persuadir al destinatario objetivo para que responda.
Cuando se sigue este enlace, se redirige al objetivo a una página web en la que se le pide que escanee un código QR para unirse al grupo. Sin embargo, este código QR en realidad lo utiliza WhatsApp para conectar una cuenta a un dispositivo vinculado o al portal web de WhatsApp. Esto significa que si el objetivo sigue las instrucciones de esta página, el actor de la amenaza puede obtener acceso a los mensajes de su cuenta de WhatsApp y tener la capacidad de exfiltrar estos datos mediante complementos de navegador existentes, que están diseñados para exportar mensajes de WhatsApp desde una cuenta a la que se accede a través de WhatsApp Web.
Fuente: https://www.microsoft.com/en-us/security/blog/2025/01/16/new-star-blizzard-spear-phishing-campaign-targets-whatsapp-accounts/
