Tras una década de ausencia «aparente», el grupo de Amenaza Persistente Avanzada (APT) conocido como Careto (también llamado “The Mask”), cuya primera actividad se observó por primera vez desde 2007 hasta 2013, ha resurgido con dos nuevas campañas dirigidas a organizaciones de América Latina y África Central.
El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky señaló que obtuvo información sobre las campañas realizadas por Careto en 2024, 2022 y 2019. En este caso, el enfoque parece haber sido robar documentos confidenciales, cookies, historial de formularios y datos de inicio de sesión de los navegadores Chrome, Edge, Firefox y Opera, además de cookies de aplicaciones de mensajería como WhatsApp, WeChat y Threema.
Modus operandi
- Acceso inicial. Compromiso de servidor de correo electrónico de la organización (MDaemon).
- Instalación de una puerta trasera en el servidor comprometido para facilitar el control de la red.
- Aprovechamiento de error no identificado previamente en una solución de seguridad para propagarse por la red interna.
- Distribución encubierta de implantes maliciosos en varias máquinas (cuatro sofisticados implantes multimodulares).
| Implante | Acciones maliciosas |
| FakeHMP | -Grabación de micrófono -Registro de pulsaciones de teclas -Robo de documentos confidenciales y datos de inicio de sesión |
| Careto2 | -Registro de pulsaciones de teclas -Captura de pantalla -Robo de archivos |
| Goreto | -Registro de pulsaciones de teclas -Captura de pantalla |
| MDaemon | -Reconocimiento inicial -Extracción de información de la configuración del sistema -Ejecución de comandos para movimiento lateral |
El código altamente modular les proporciona la posibilidad de agregar nuevas funcionalidades, y «las nuevas capacidades» se suman al arsenal analizado por Kaspersky en 2014.
Finalmente, es importante destacar que “The Mask” ha sido calificada como “una de las amenazas modernas más avanzadas” y sus campañas de ciberespionaje son diseñadas para robar datos sensibles de organizaciones específicas a nivel global. Entre sus víctimas incluye agencias gubernamentales, embajadas, empresas de energía, instituciones de investigación, firmas de capital privado y activistas de 31 países. En 2014 se detectaron infecciones en: Alemania, Argelia, Argentina, Bélgica, Bolivia, Brasil, China, Colombia, Costa Rica, Cuba, Egipto, España, Francia, Gibraltar, Guatemala, Irán, Irak, Libia, Malasia, México, Marruecos, Noruega, Paquistán, Polonia, Sudáfrica, Suiza, Túnez, Turquía, Reino Unido, Estados Unidos y Venezuela.
Fuentes:
APT trends report Q1 2024. Securelist by Kasperky
Careto APT resurfaces after 10 years with new malicious frameworks
‘The Mask’ Espionage Group Resurfaces After 10-Year Hiatus
El APT Careto/Mask: Preguntas más frecuentes
Ciberprisma - alianza por la ciberseguridad 