Se ha descubierto una sofisticada campaña cibernética dirigida a embajadas extranjeras en Moscú, revelando el despliegue de una cepa de malware personalizada diseñada para manipular los mecanismos de confianza digital.
El grupo de amenazas patrocinado por el estado ruso Secret Blizzard ha estado orquestando una operación adversaria en el medio desde al menos 2024, utilizando su posición dentro de la infraestructura del proveedor de servicios de Internet para desplegar el malware Apolloshadow contra entidades diplomáticas.
La campaña representa una escalada significativa en las operaciones cibernéticas patrocinadas por el estado, particularmente en su explotación de la infraestructura de Internet dentro de las fronteras rusas.
Cadena de infecciones secretas de Blizzard Aitm (fuente – Microsoft)
Secret Blizzard, que se superpone con los actores de amenaza conocidos como oso veneno, uroburos, serpiente y turla, ha demostrado la capacidad de realizar operaciones de intercepción a gran escala a nivel de ISP.
Este posicionamiento permite al grupo redirigir dispositivos objetivo a través de portales cautivos, creando efectivamente un entorno controlado para la implementación de malware.
La función principal de Apolloshadow se centra en la instalación de certificados raíz de confianza que permiten a los dispositivos confiar en sitios maliciosos controlados por actores.
El malware se disfraza de un instalador antivirus de Kaspersky a través de un archivo llamado CertedB.EXE, explotando la confianza del usuario en el software de seguridad legítimo.
Analistas de Microsoft identificado Este enfoque engañoso como un componente crítico de la estrategia de persistencia del grupo, diseñada para mantener el acceso a largo plazo a las comunicaciones y la inteligencia diplomáticas.
Mecanismo de infección técnica y manipulación de certificados
El malware emplea una sofisticada vía de doble ejecución basada en los niveles de privilegios detectados a través de la API de Windows GetTokenInformationType.
Flujo de ejecución de Apolloshadow (fuente – Microsoft)
Cuando se opera con privilegios elevados, Apolloshadow ejecuta comandos de instalación de certificados utilizando la utilidad de Windows CertUtil.
El malware implementa dos comandos específicos:-
certUtil.exe -f -Enterprise -addstore root “C: \ Users \\ appData \ local \ temp \ crt3c5c.tmp” certutil.exe -f -enterprise -addstore ca “c: \ users \\ appdata \ local \ temp \ crt53ff.tmp”
Estos comandos instalan certificados maliciosos en las tiendas de autoridad raíz y de certificados, comprometiendo efectivamente la capacidad del dispositivo para distinguir entre sitios web legítimos y controlados por atacantes.
El malware modifica además las preferencias del navegador Firefox creando un archivo wincert.js que contiene el prefirector de modificación pref (“Security.Enterprise_roots.enabled”, true); Para garantizar que Firefox confíe en los certificados recién instalados.
Para mantener la persistencia, Apolloshadow crea una cuenta de usuario administrativa llamada “Updatususer” con una contraseña codificada que nunca caduca.
El malware también modifica los perfiles de red para establecer todas las conexiones como redes privadas, relajar las reglas de firewall y permitir capacidades de intercambio de archivos que podrían facilitar el movimiento lateral dentro de entornos comprometidos.
La campaña plantea riesgos significativos para las entidades diplomáticas que operan en Moscú, particularmente aquellos que dependen de la infraestructura local de telecomunicaciones.
Se aconseja a las organizaciones que enriquecen todo el tráfico a través de túneles encriptados a redes de confianza o utilizan proveedores de conexión basados en satélite cuya infraestructura permanece fuera del control adversario potencial.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
