Las operaciones de juego online en el sudeste asiático fueron objeto de ataques de amenazas persistentes avanzadas (APT) durante años, según un reciente informe publicado por Kaspersky, la empresa multinacional rusa líder en ciberseguridad, revela.
Kaspersky identifica una nueva actividad de los hackers
Sin embargo, los investigadores de Kaspersky han identificado una nueva actividad hacker «GamePlayerFramework» desplegada por una organización llamada «DiceyF». Se cree que la organización ha distribuido un malware dirigido a las operaciones de los casinos online. Al infectar los sistemas de las víctimas, DiceyF tenía acceso continuo a sus bases de datos. Según los investigadores de Kaspersky, este tipo de actividades se llevan a cabo desde hace años, pero este GamePlayerFramework específico es una nueva pieza de software que utilizaba un «cargador multietapa» rediseñado y reescrito en C#.
«Llamamos a este APT «DiceyF». Llevan años atacando casinos online y otras víctimas en el sudeste asiático,«
se lee en un informe publicado por Kaspersky
Es probable que la nueva actividad hacker DiceyF se alinee con recursos similares de la actividad APT «Earth Berberoka/GamblingPuppet». Otra actividad hacker similar que se alinea con DiceyF es «DRBControl». La investigación muestra que esas actividades se alinean considerando el uso de malware, entre otras herramientas de hacking. Es posible que DiceyF aprovechara un certificado digital robado de una aplicación de mensajería y distribuyera malware «a través de un sistema de monitorización de empleados y un servicio de despliegue de paquetes de seguridad», explicó Kaspersky.
«Posiblemente estemos ante una mezcla de espionaje y robo de IP, pero las verdaderas motivaciones siguen siendo un misterio,«
añade el informe de Kaspersky
La empresa líder en ciberseguridad rusa reconoció que la actividad de DiceyF puede estar detrás del robo de propiedad intelectual y del espionaje. Pero lo extraño de este caso es que hasta ahora no hay pruebas de robo de dinero en efectivo o motivo financiero detrás de la reciente actividad de APT.
Referencia a Final Fantasy
Además de la misteriosa motivación detrás de la actividad de DiceyF, los investigadores identificaron un código peculiar dentro de GamePlayerFramework. Se identificaron dos ramas diferentes, una llamada «Tifa» y la otra, «Yuna». Tifa y Yuna son referencias a la famosa serie Final Fantasy, que representan a los dos personajes principales.
Según los investigadores, la rama Yuna presentaba un descargador, junto con plugins y «varios componentes de PuppetLoader». Por otro lado, el módulo de la rama de Tifa sólo incluía un descargador en combinación con un módulo «central». Se identificó que la rama Tifa aprovechaba una aplicación utilizada para la mensajería segura llamada Mango.