De acordo com dados da Kaspersky Lab, no ano passado, o Hellsing, um grupo de ciberespionagem que atacava organizações governamentais e diplomáticas na Ásia, sofreu um ataque de phishing por parte de outro grupo e contra-atacou, dando origem a uma guerra de APTs.
A Kaspersky deparou-se com esta guerra durante a investigação ao Naikon, um grupo de ciberespionagem também dirigido organizações da região da Ásia-Pacífico. Os analistas notaram que um dos alvos do Naikon descobriu a tentativa de infetar os seus sistemas com uma mensagem de email de phishing que continha um ficheiro malicioso em anexo.
Como o alvo dos cibercriminosos pôs em dúvida a autenticidade do email, não abriu o ficheiro em anexo e reenviou de volta ao remetente uma mensagem que continha o malware recebido. Isto desencadeou a investigação da Kaspersky Lab e conduziu à descoberta do grupo APT Hellsing.
O método de contra-ataque indica que o Hellsing quis identificar o grupo Naikon e reunir informação sobre o mesmo. Uma análise mais profunda ao Hellsing revelou um rasto de mensagens de email de phishing lançadas com ficheiros anexos maliciosos concebidos para propagar malware destinado à espionagem entre diferentes organizações. Se a vítima abrisse o ficheiro anexo malicioso, o seu sistema era infetado com um backdoor personalizado capaz de descarregar e carregar ficheiros, e realizar a atualização e desinstalação de si próprio.
De acordo com as observações da Kaspersky, o número de organizações atacadas pelo Hellsing é aproximadamente 20. A empresa de segurança detetou e bloqueou o software malicioso na Malásia, Filipinas, Índia, Indonésia e Estados Unidos.
«O ataque do Hellsing ao Naikon, numa espécie de vingança ao estilo “Empire Strikes Back”, é fascinante. No passado, já vimos grupos APT a atacar-se acidentalmente entre si, enquanto roubavam os contactos das vítimas e depois enviavam emails massivos a todos eles. No entanto, tendo em conta a orientação e a origem do ciberataque, parece mais do que provável que este seja um exemplo de um ataque APT-on-APT deliberado», afirma Costin Raiu, diretor da equipa de analistas GREAT da Kaspersky Lab.
