- Gamaredon utiliza malware como BoneSpy y PlainGnome para ciberespionaje en Asia Central.
- Ambos malwares tienen capacidades avanzadas de vigilancia, como acceso a datos sensibles y ubicación.
- Los ataques cibernéticos buscan desestabilizar antiguas regiones soviéticas y responden a tensiones geopolíticas.
- Proteger dispositivos requiere evitar apps no oficiales y usar soluciones de seguridad avanzadas.
El ciberespionaje y el uso de malware en conflictos geopolíticos están alcanzando nuevas cotas de sofisticación, y uno de los grupos más notorios en esta área es Gamaredon, un actor de amenazas persistentes avanzadas (APT) alineado con Rusia. Este grupo, conocido también como Primitive Bear, ACTINIUM o Shuckworm, ha sido vinculado al Servicio Federal de Seguridad de Rusia (FSB) y lleva desde al menos 2014 orquestando ataques cibernéticos de gran repercusión. Sus objetivos principales han incluido a Ucrania y, más recientemente, a antiguos estados soviéticos como Uzbekistán y Kazajstán.
Recientes descubrimientos realizados por investigadores han revelado que Gamaredon ha desplegado dos familias de malware para Android: BoneSpy y PlainGnome. Estas herramientas de vigilancia han sido empleadas estratégicamente para monitorear dispositivos y obtener información confidencial, exacerbando las tensiones en la región tras la invasión de Ucrania por Rusia en 2022.
El trasfondo de Gamaredon y su evolución a lo largo de los años
Desde su identificación inicial, Gamaredon ha representado una amenaza importante para la seguridad cibernética, especialmente en Ucrania. Según informes del Servicio de Seguridad de Ucrania, este grupo ha estado activo desde al menos 2013 y ha llevado a cabo campañas dirigidas a interferir con instituciones gubernamentales y empresas estratégicas. Se le atribuyen ataques de phishing masivo contra entidades relacionadas con Ucrania, iniciados desde finales de 2021.
Entre las herramientas más destructivas asociadas a este grupo se encuentra LitterDrifter, un gusano informático que se propaga a través de dispositivos USB. Este malware no solo infecta equipos, sino que mantiene comunicación constante con servidores de comando y control, operados desde infraestructuras relacionadas con Gamaredon. Su uso ha generado infecciones colaterales en países como Estados Unidos y Chile, aunque los mayores impactos se han detectado en Ucrania.
La aparición de BoneSpy y PlainGnome
Entre las herramientas más recientes de Gamaredon destacan BoneSpy y PlainGnome, dos familias de spyware para Android diseñadas para la vigilancia de usuarios en países de la antigua Unión Soviética. Según los investigadores del Lookout Threat Lab, BoneSpy deriva del software de vigilancia de código abierto conocido como DroidWatcher, mientras que PlainGnome presenta una arquitectura más sofisticada, que incluye una implementación en dos etapas.
BoneSpy se utiliza desde al menos 2021 y ha evolucionado significativamente, consolidándose como un instrumento capaz de recopilar información como mensajes SMS, registros de llamadas, ubicación GPS y contenido multimedia del dispositivo objetivo. Sus primeras versiones incluían aplicaciones troyanizadas como monitores de carga de batería y apps falsas, pero en etapas más avanzadas se disfrazó como versiones funcionales de Telegram Trojanizadas.
Por su parte, PlainGnome surgió en 2024 como una alternativa aún más compleja. Su modelo de despliegue en dos fases asegura que el malware pase desapercibido, ejecutando la vigilancia solo cuando el dispositivo se encuentra inactivo. Además, emplea técnicas avanzadas para eludir la detección, como grabación de audio ambiental sin alertas visuales en el dispositivo.
El impacto de los ataques en la región
El despliegue de BoneSpy y PlainGnome ha puesto en el punto de mira a varios países de Asia Central, como Uzbekistán, Kazajstán, Tayikistán y Kirguistán. La elección de estos objetivos parece responder a las crecientes tensiones entre Rusia y estas naciones tras el inicio de la guerra en Ucrania. Aunque Gamaredon históricamente ha enfocado sus esfuerzos en Ucrania, se sospecha que su actual diversificación en objetivos geográficos es un intento de crear inestabilidad en regiones estratégicas.
Ambas familias de malware comparten infraestructura con campañas de escritorio atribuibles a Gamaredon, según pruebas de dominios y direcciones IP analizadas por diversos laboratorios de inteligencia. Por ejemplo, el servicio Dynamic DNS utilizado para alojar servidores de comando y control ha sido una constante desde 2017.
Características técnicas y capacidades de BoneSpy y PlainGnome
Las capacidades de vigilancia de BoneSpy y PlainGnome son amplias y abrumadoras. Entre las características comunes se incluyen:
- Obtención de datos sensibles como mensajes de texto, registros de llamadas y contactos.
- Monitorización de ubicación GPS y acceso a la cámara del dispositivo.
- Recopilación de información del sistema operativo y aplicaciones instaladas.
- Control remoto mediante comandos SMS, específicamente en el caso de BoneSpy.
PlainGnome utiliza además técnicas avanzadas de exfiltración de datos, que minimizan su detección por parte del usuario. Por ejemplo, los datos son enviados solo cuando el teléfono está en modo inactivo, reduciendo las posibilidades de ser detectado por anomalías de uso o consumo de batería.
La respuesta internacional y medidas para mitigar los riesgos
Los ataques atribuidos a Gamaredon han generado una creciente preocupación a nivel internacional. Agencias de seguridad de Estados Unidos y Europa han señalado estos ciberataques como una amenaza directa a la estabilidad de infraestructuras críticas. Además, grupos de investigación independientes como Lookout y Check Point están trabajando activamente en identificar las infraestructuras y técnicas utilizadas por el grupo.
Entre las medidas recomendadas para protegerse contra este tipo de malware se incluyen:
- Evitar la instalación de aplicaciones fuera de las tiendas oficiales como Google Play.
- Revisar las configuraciones de seguridad del dispositivo y desactivar permisos innecesarios.
- Utilizar soluciones de seguridad actualizadas que sean capaces de detectar amenazas en tiempo real.
Además, es importante que las empresas adopten protocolos estrictos para la gestión de dispositivos móviles, especialmente si contienen información confidencial o están conectados a redes corporativas.
El caso de Gamaredon pone de manifiesto cómo el ciberespionaje está evolucionando hacia niveles cada vez más intrincados y cómo actores estatales están influyendo directamente en conflictos geopolíticos a través del ciberespacio. Las capacidades de vigilancia y manipulación de BoneSpy y PlainGnome representan una verdadera amenaza, no solo para individuos, sino para naciones enteras.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.