Hackers rusos usan la aplicación Zulip Chat para comando y control encubierto en ataques diplomáticos de phishing
Una campaña en curso dirigida a los ministerios de asuntos exteriores de los países alineados con la OTAN apunta a la participación de actores de amenazas rusos.
Los ataques de phishing cuentan con documentos PDF como señuelos diplomáticos, algunos de los cuales están disfrazados de procedentes de Alemania, para entregar una variante de un malware llamado Duke, que se ha atribuido a APT29
“El atacante utilizó Zulip, una aplicación de chat de código abierto, para comando y control, para evadir y ocultar sus actividades detrás del tráfico web legítimo”, dijo la compañía holandesa de ciberseguridad EclecticIQ en un análisis la semana pasada.
La secuencia de infección es la siguiente: El archivo PDF adjunto, llamado “Adiós al embajador de Alemania”, viene incrustado con código JavaScript que inicia un proceso de varias etapas para soltar el malware.
Si un objetivo potencial sucumbe a la trampa de phishing al abrir el archivo PDF, se inicia un gotero HTML malicioso llamado Invitation_Farewell_DE_EMB para ejecutar JavaScript que suelta un archivo ZIP, que, a su vez, incluye un archivo de aplicación HTML (HTA) diseñado para implementar el malware Duke.
