Una campaña de ciberespionaje atribuida al grupo ruso Secret Blizzard —vinculado al Servicio de Seguridad Federal (FSB), según CISA — fue detectada desplegando malware para interceptar y espiar las comunicaciones de embajadas y consulados extranjeros que operan dentro de Rusia. Así lo revelaron investigadores de Microsoft.
El ataque utilizó una técnica conocida como Adversary-in-the-Middle (AiTM), que permite interceptar el tráfico entre el usuario y la red. Lo particular de esta campaña es que se ejecutó desde el nivel del proveedor de internet (ISP), posiblemente aprovechando mecanismos legales de interceptación disponibles en territorio ruso.
El acceso inicial comenzaba cuando la víctima era redirigida a un portal cautivo (una página de inicio de sesión típica en redes públicas como las de los aeropuertos). Desde allí, era enviada a un sitio controlado por Secret Blizzard, donde aparecía un error de validación del certificado. El mensaje instruía a la persona, bajo engaño, a descargar y ejecutar el malware ApolloShadow, diseñado para espiar y mantener persistencia en el sistema.
Fuente: https://www.microsoft.com/
Microsoft advirtió que esta operación representa una amenaza crítica para embajadas, misiones diplomáticas y organizaciones sensibles con presencia en Moscú, e instó a tomar medidas urgentes de protección.
Entre sus principales recomendaciones destaca:
- Redirigir todo el tráfico de internet a través de un túnel cifrado hacia una red de confianza o utilizar proveedor alternativo, como conexiones por satélite.
- Aplicar el principio de mínimos privilegios y usar autenticación multifactor.
- Revisar y auditar regularmente cuentas y grupos privilegiados.
- Activar antivirus con protección en la nube y sistemas EDR con bloqueo automático.
Fuente
Ciberprisma - alianza por la ciberseguridad 