‘Operación Triangulación’: Kaspersky revela campaña APT móvil que apunta a dispositivos iOS

Investigadores de Kaspersky descubren una campaña APT móvil dirigida a dispositivos iOS, que ejecuta malware a través de iMessage para espiar a los usuarios de forma sigilosa.

Operación Triangulación

Investigadores de Kaspersky han revelado una nueva campaña de amenaza persistente avanzada (APT) móvil dirigida a dispositivos iOS, que utiliza malware previamente desconocido. Conocida como ‘Operación Triangulación’, esta campaña distribuye exploits a través de iMessage sin requerir ninguna acción por parte de la víctima, lo que permite ejecutar malware y obtener control total sobre el dispositivo y los datos del usuario. El objetivo final es espiar a los usuarios de manera encubierta.

El descubrimiento de esta campaña de APT móvil se produjo mientras los expertos de Kaspersky monitoreaban el tráfico de su red Wi-Fi corporativa utilizando la Plataforma de Análisis y Monitoreo Unificado de Kaspersky (Kaspersky Unified Monitoring and Analysis Platform o KUMA). Durante un análisis exhaustivo, los investigadores de Kaspersky descubrieron que el actor de amenazas había estado apuntando a los dispositivos iOS de docenas de empleados de la empresa.

Aunque la investigación sobre la técnica de ataque aún está en curso, los investigadores de Kaspersky han logrado identificar la secuencia general de infección. La víctima recibe un mensaje a través de iMessage con un archivo adjunto que contiene un exploit de clic cero. Sin necesidad de ninguna interacción adicional, el mensaje activa una vulnerabilidad que permite la ejecución de código para escalar privilegios y obtener control total sobre el dispositivo infectado. Una vez que el atacante ha establecido su presencia con éxito en el dispositivo, el mensaje se elimina automáticamente.

Además, el software espía transmite silenciosamente información privada a servidores remotos, incluyendo grabaciones de micrófonos, fotos de mensajería instantánea, geolocalización y datos sobre otras actividades del propietario del dispositivo infectado.

dispositivos iOS Kaspersky
Dispositivos iOS. / Foto: Kaspersky.

Durante el análisis, se confirmó que no hubo impacto en los productos, tecnologías y servicios de la empresa, y que los datos de los usuarios de los clientes de Kaspersky y los procesos críticos de la empresa no se vieron afectados. Los atacantes solo pudieron acceder a los datos almacenados en los dispositivos infectados. Aunque no se puede afirmar con certeza, se cree que el ataque no estuvo dirigido específicamente a Kaspersky, siendo la empresa la primera en descubrirlo. Con el paso de los días, se espera obtener más claridad sobre la extensión global de este ciberataque.

Kaspersky advierte sobre el peligroso ataque de malware a dispositivos iOS en la campaña ‘Operación Triangulación’

Igor Kuznetsov, jefe del Equipo Global de Investigación y Análisis (GReAT) para EMEA en Kaspersky, comentó: «Incluso los sistemas operativos más seguros pueden ser comprometidos cuando se trata de ciberseguridad. Dado que los actores de APT evolucionan constantemente sus tácticas y buscan nuevas vulnerabilidades para explotar, las empresas deben priorizar la seguridad de sus sistemas. Esto implica educar y concienciar a los empleados, proporcionarles la última inteligencia de amenazas y las herramientas para reconocer y defenderse de las amenazas potenciales de manera efectiva».

La investigación de la Operación Triangulación continúa y se espera que se revelen más detalles en breve, ya que es posible que existan objetivos de esta operación de espionaje fuera de Kaspersky.

Para evitar convertirse en víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:

  • Utilizar una solución de seguridad confiable para empresas, como Kaspersky Unified Monitoring and Analysis Platform (KUMA), para la detección, investigación y corrección oportuna de incidentes a nivel del endpoint.
  • Actualizar el sistema operativo Microsoft Windows y otros software de terceros de manera regular y tan pronto como sea posible.
  • Proporcionar acceso a la inteligencia de amenazas más reciente a su equipo de SOC. Kaspersky Threat Intelligence es una fuente de información y datos sobre ataques cibernéticos recopilados por Kaspersky durante más de 20 años.
  • Mejorar las habilidades del equipo de seguridad cibernética para enfrentar las últimas amenazas dirigidas mediante la capacitación en línea proporcionada por expertos de GReAT.
  • Proporcionar capacitación en seguridad y enseñar habilidades prácticas al equipo, especialmente en relación con el phishing y otras técnicas de ingeniería social, utilizando plataformas como Kaspersky Automated Security Awareness Platform.