En una reciente actualización sobre los esfuerzos de disrupción de amenazas, se han compartido nuevos conocimientos sobre una pequeña agrupación de actividades de probable ingeniería social en WhatsApp, bloqueada por los equipos de seguridad tras investigar reportes de usuarios. Esta actividad maliciosa provino de Irán y se dirigió a individuos en Israel, Palestina, Irán, Estados Unidos y Reino Unido. Dichos esfuerzos se centraron en funcionarios políticos y diplomáticos, así como en otras figuras públicas, incluyendo personas asociadas con las administraciones de los presidentes Biden y Trump.
La investigación vinculó esta actividad al grupo APT42, también conocido como UNC788 y Mint Sandstorm, un actor de amenazas iraní conocido por sus persistentes campañas adversarias usando tácticas básicas de phishing para robar credenciales de cuentas en línea. Anteriormente se ha compartido investigación sobre APT42, que ha tenido como objetivo a personas en el Medio Oriente, incluyendo militares saudíes, disidentes y activistas de derechos humanos de Israel e Irán, políticos en los Estados Unidos y académicos, activistas y periodistas enfocados en Irán alrededor del mundo.
Estas cuentas se hicieron pasar por soporte técnico de AOL, Google, Yahoo y Microsoft. Algunas de las personas apuntadas por este grupo reportaron estos mensajes sospechosos a WhatsApp mediante las herramientas de reporte dentro de la aplicación. Esos reportes permitieron investigar esta última campaña y vincularla al mismo grupo de hackers responsable de intentos similares hacia funcionarios políticos, militares y diplomáticos, según han informado también Microsoft y Google.
La vigilancia de los usuarios al reportar los mensajes sugiere que estos esfuerzos no tuvieron éxito. No se ha encontrado evidencia de que sus cuentas fueran comprometidas. Se ha alentado a quienes reportaron dichos mensajes a tomar medidas adicionales para asegurar sus cuentas en línea. Además, debido al entorno de amenaza elevado antes de las elecciones en Estados Unidos, se compartió información sobre esta actividad maliciosa con las fuerzas del orden y con las campañas presidenciales para fomentar la precaución contra posibles objetivos adversarios.
Se continúa monitoreando la información proveniente de nuestros pares en la industria, de nuestras propias investigaciones y reportes de usuarios. Se tomarán acciones si se detectan nuevos intentos de actores maliciosos de apuntar a personas en nuestras aplicaciones. Se exhorta a figuras públicas, periodistas, candidatos políticos y campañas a mantenerse vigilantes, aprovechar las configuraciones de privacidad y seguridad, evitar interactuar con mensajes de desconocidos y reportar actividades sospechosas.
Como recordatorio, los actores de ciberespionaje suelen apuntar a personas a través de internet para recolectar inteligencia, manipular información y comprometer dispositivos y cuentas. Al interrumpir estas operaciones, se desactivan sus cuentas, se bloquean sus dominios para que no puedan ser compartidos en nuestra plataforma y se notifica a quienes creemos que fueron objetivos de estos grupos maliciosos. Para más información sobre nuestros esfuerzos de disrupción de amenazas, se puede visitar la página correspondiente.
Fuente: Zona de prensa de Meta.
