Categories: Seguridad

Nuevas operaciones de ciberespionaje contra empresas y gobiernos en Asia descubiertas por ESET

Desde mediados del año pasado, ESET, la empresa de ciberseguridad, ha llevado a cabo un análisis de las diferentes campañas que se han atribuido a Gelsemium, un grupo de cibersespionaje que parece llevar operando desde 2014 con su malware Gelservirine.

Los expertos de ESET han encontrado, durante la investigación, un nueva versión del mencionado malware: una backdoor compleja y modular. El grupo ha conseguido operar, hasta ahora, sin ser descubierto, atacando principalmente a gobiernos, organizaciones religiosas, universidades y fabricantes de dispositivos electrónicos localizados en Asia oriental y Oriente Medio.

Los ataques de Gelsemium son muy dirigidos; es más, según ESET son pocas las víctimas que se han visto afectadas, pero teniendo en cuenta sus capacidades, lo más probable es que su objetivo principal sea el ciberespionaje. En este sentido, Thomas Dupuy, investigador de ESET y coautor del análisis sobre Gelsemium, explica que: “La cadena completa de infección de Gelsemium parece simple a primera vista, pero puede configurarse de multitud de formas en cada etapa, incluso sobre la marcha en el propio payload final, lo que lo convierte en difícil de entender”.

El modus operandi de Gelsemium se lleva a cabo con tres componentes y un sistema de complementos que ofrece a los operados diferentes opciones para recoger la información: el dropper Gelsemine, el loader Gelsenicine y el componente principal Gelsevirine.

ESET poner el foco sobre Gelsemium respecto al ataque a la cadena de suministro de BigNox, sobre la que se dio alerta en la Operación NightScout. Esto fue un ataque denunciado por ESET que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, así como el conjunto de productos de BigNox, con más de 150 millones de usuarios en todo el mundo. La investigación de ESET descubrió conexiones entre el ataque y el grupo Gelsemium: las víctimas que habían sido comprometidas por el ataque de la Operación NightScout fueron luego comprometidos por Gelsemine.

Ana Suárez

Recent Posts

Un ejemplo de cómo puede evitar la MFA una ciberestafa con Gen AI

Panda comparte un caso real en el que la autenticación multifactor (MFA) ayuda a prevenir…

2 días ago

Las iSIM instaladas en 2026 sobrepasarán los 10 millones

Juniper Research prevé un crecimiento de más del 1200 % en los próximos dos años.…

2 días ago

Llega Workplace Móvil, el nuevo servicio de Telefónica para empresas

Engloba desde la conectividad y la seguridad a la renovación de dispositivos, impulsando la economía…

2 días ago

1 de cada 2 españoles cambia sus contraseñas de forma periódica

Pero todavía hay que mejorar: más de un 42 % de los encuestados por Finetwork…

2 días ago

7 de cada 10 empleados volverían gustosos a la oficina si se fomentase la colaboración

De acuerdo con un estudio de Cisco, reclaman espacios que permitan la interacción social y…

3 días ago

OVHcloud renueva sus servidores Bare Metal High Grade con procesadores Intel Xeon Gold

Estos servidores afrontan "desde la resolución de los desafíos de las infraestructuras hiperconvergentes hasta los…

3 días ago