Ataque ‘watering hole’ a sitios kurdos distribuye APKs maliciosos y spyware
The Hacker News – Ravie Lakhsmanan – Traducido y editado por Rojava Azadi Madrid
Un total de 25 sitios web relacionados con la minoría kurda se han visto comprometidos como parte de un ataque diseñado para recopilar información sensible durante más de un año y medio.
La empresa francesa de ciberseguridad Sekoia, que reveló detalles de la campaña bautizada como SilentSelfie, describió el conjunto de intrusiones como de larga duración, con los primeros signos de infección detectados ya en diciembre de 2022.
Los ataques web estratégicos están diseñados para ofrecer cuatro variantes diferentes de un marco de robo de información, añadió.
«Desde las más sencillas, que se limitaban a robar la ubicación del usuario, hasta otras más complejas que grababan imágenes de la cámara selfie y llevaban a los usuarios seleccionados a instalar un APK malicioso, es decir, una aplicación utilizada en Android», explican los investigadores de seguridad Felix Aimé y Maxime A en un informe publicado el miércoles.
Entre los sitios web atacados figuran la prensa y los medios de comunicación kurdos, la administración de Rojava y sus fuerzas armadas, los relacionados con partidos políticos revolucionarios de extrema izquierda y organizaciones de Turquía y las regiones kurdas. Sekoia declaró a The Hacker News que el método exacto por el que estos sitios web fueron violados en primer lugar sigue siendo incierto.
Los ataques no se han atribuido a ningún actor o entidad de amenazas conocido, lo que indica la aparición de un nuevo grupo de amenazas dirigido a la comunidad kurda, que ya había sido objeto de ataques por parte de grupos como StrongPity y BladeHawk.
A principios de este año, la empresa de seguridad holandesa Hunt & Hackett también reveló que los sitios web kurdos de los Países Bajos habían sido atacados por un actor de la amenaza Türkiye-nexus conocido como Sea Turtle.
Los ataques watering hole se caracterizan por el despliegue de un JavaScript malicioso que se encarga de recopilar diversos tipos de información de los visitantes del sitio, como su ubicación, datos del dispositivo (por ejemplo, número de CPU, estado de la batería, idioma del navegador, etc.) y dirección IP pública, entre otros.
También se ha observado que una variante del script de reconocimiento encontrada en tres sitios web (rojnews[.]news, hawarnews[.]com y targetplatform[.]net.) redirige a los usuarios a archivos APK falsos de Android, mientras que otras incluyen la posibilidad de rastrear al usuario a través de una cookie llamada «sessionIdVal».
La aplicación de Android, según el análisis de Sekoia, incrusta el propio sitio web como una WebView, mientras que también clandestinamente hoovering información del sistema, listas de contactos, ubicación y archivos presentes en el almacenamiento externo basado en los permisos concedidos a la misma.
«Cabe destacar que este código malicioso no tiene ningún mecanismo de persistencia, sino que sólo se ejecuta cuando el usuario abre la aplicación RojNews», señalaron los investigadores.
«Una vez que el usuario abre la aplicación, y después de 10 segundos, el servicio LocationHelper comienza a balizar el fondo a la URL rojnews[.]news/wp-includes/sitemaps/ a través de peticiones HTTP POST, compartiendo la ubicación actual del usuario y esperando comandos para ejecutarse.»
No se sabe mucho sobre quién está detrás de SilentSelfie, pero Sekoia ha estimado que podría ser obra del Gobierno Regional del Kurdistán de Irak, basándose en la detención del periodista de RojNews Silêman Ehmed por fuerzas del PDK en octubre de 2023. Fue condenado a tres años de cárcel en julio de 2024.
«Aunque esta campaña de riego es de escasa sofisticación, destaca por el número de sitios web kurdos afectados y por su duración», afirman los investigadores. «El bajo nivel de sofisticación de la campaña sugiere que podría ser obra de un actor de amenazas descubierto con capacidades limitadas y relativamente nuevo en el campo».
