Las sofisticadas técnicas de ciberespionaje del grupo Transparent Tribe con el malware ElizaRAT

ElizaRAT emplea servicios en la nube como Google y Slack para ocultar su comunicación C2 y ataca específicamente a entidades indias.

Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies, proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, revela una preocupante evolución en las tácticas de ciberespionaje, lo que destaca la adaptabilidad y la creciente sofisticación del grupo Transparent Tribe (también conocido como APT36) con su último malware, ElizaRAT.

Tres aspectos clave de esta amenaza emergente:

•   Evasión de la detección mejorada con campañas sofisticadas: ElizaRAT ha experimentado una evolución significativa desde que se hizo pública en septiembre de 2023, y ha utilizado métodos sofisticados para eludir su detección como cargas útiles modificadas y componentes dropper refinados. Este cambio de táctica supone un desafío cada vez mayor para los métodos de detección tradicionales, lo que subraya la necesidad de estrategias de prevención de amenazas más avanzadas.

•   Uso de servicios en la nube para el mando y control (C2): una de las características destacadas de ElizaRAT es su capacidad para utilizar empresas de confianza, como Google, Slack y Telegram para la comunicación C2. Las primeras versiones dependían de Telegram, pero las variantes más recientes utilizan la API de Slack y los servicios de Google Cloud para comunicarse, lo que le permite mezclarse con el tráfico legítimo de la red, dificultando a los equipos de seguridad su identificación.

•   Ataque específico a organismos indios con cargas útiles personalizadas: las campañas de Transparent Tribe utilizando ElizaRAT han verificado que los sistemas infectados están configurados en la hora estándar de la India, lo que indica un enfoque deliberado hacia las empresas de este país. Una de las variantes, ApoloStealer, recopila datos sensibles de los sistemas atacados, incluyendo archivos de escritorio y envía esta información a los servidores C2. Esto pone en juego la seguridad nacional y subraya la necesidad crítica de medidas defensivas especializadas.

Riesgos para las víctimas y la industria en general

Estos ataques subrayan el peligro que enfrentan las empresas que dependen de plataformas comunes basadas en la nube, ya que se convierten en canales para los ciberdelincuentes. Esta tendencia también destaca un cambio hacia el uso de servicios legítimos, como Google, Slack y Telegram, lo cual exige una nueva generación de estrategias defensivas que puedan identificar y neutralizar amenazas ocultas a simple vista.

"La evolución de ElizaRAT es un claro ejemplo de cómo los atacantes están refinando sus métodos para explotar herramientas digitales cotidianas con fines maliciosos”, explica Sergey Shykevich, gerente del Grupo de Inteligencia de Amenazas de Check Point Software. “A medida que los ciberdelincuentes aprovechan plataformas cloud de confianza como Google y Slack, las empresas deben adoptar medidas de detección de amenazas más proactivas impulsadas por IA”, concluye.