Investigadores del Trellix Advanced Research Center han revelado una campaña de ciberespionaje altamente dirigida, atribuida al grupo DoNot APT (también conocido como APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 o Viceroy Tiger). Esta operación tuvo como objetivo entidades gubernamentales del sur de Europa, utilizando técnicas de ingeniería social y malware personalizado para comprometer redes diplomáticas.
Perfil del grupo DoNot APT
Activo desde al menos 2016, DoNot APT ha sido vinculado por múltiples firmas de ciberseguridad con intereses geopolíticos del sur de Asia. Su historial incluye ataques a ministerios de relaciones exteriores, organizaciones de defensa y ONGs, especialmente en Asia y Europa. El grupo es conocido por su persistencia, vigilancia prolongada y uso de malware hecho a medida.
Cadena de ataque: del clic a la intrusión
La campaña descubierta por Trellix comenzó con correos electrónicos de phishing enviados desde cuentas de Gmail que suplantaban a funcionarios de defensa europeos. Los mensajes hacían referencia a una supuesta visita diplomática a Bangladesh e incluían un enlace a Google Drive que alojaba un archivo RAR malicioso.
Este archivo contenía un ejecutable disfrazado de documento PDF. Al abrirlo, se desplegaba el malware LoptikMod, una herramienta de acceso remoto (RAT) exclusiva del grupo, activa desde al menos 2018.
Capacidades del malware LoptikMod
- Persistencia mediante tareas programadas
- Comunicación con servidores C2 para recibir comandos y exfiltrar datos
- Descarga de módulos adicionales
- Técnicas anti-VM y ofuscación en ASCII para evadir análisis
- Control de instancias para evitar múltiples ejecuciones simultáneas
Técnicas de evasión y sofisticación
El uso de servicios legítimos como Google Drive, junto con una atención meticulosa al formato de los correos (incluyendo codificación UTF-8 para caracteres especiales como “é” en “Attaché”), demuestra un alto nivel de ingeniería social. Además, el malware fue diseñado para operar discretamente y dificultar su análisis en entornos virtuales.
📉 Estado actual de la infraestructura
Trellix confirmó que el servidor de comando y control (C2) utilizado en esta campaña se encuentra actualmente inactivo, lo que sugiere que los atacantes han desmantelado temporalmente la infraestructura o migrado a nuevos servidores.
🛡️ Recomendaciones para defensa
- Bloquear enlaces a servicios de almacenamiento en la nube desde correos externos no verificados
- Monitorear procesos sospechosos que simulen documentos PDF pero ejecuten binarios
- Implementar detección de RATs personalizados como LoptikMod en soluciones EDR
- Educar al personal diplomático y gubernamental sobre campañas de spear-phishing dirigidas
🔐 Este incidente subraya la creciente sofisticación de los grupos APT en el uso de técnicas de bajo perfil y herramientas personalizadas para infiltrarse en redes gubernamentales. La colaboración entre centros de investigación como Trellix y los equipos de ciberdefensa nacionales será clave para anticipar y neutralizar futuras amenazas de este tipo.
Fuente: https://www.trellix.com/blogs/research/from-click-to-compromise-unveiling-the-sophisticated-attack-of-donot-apt-group-on-southern-european-government-entities/
