La ciberseguridad europea se encuentra en estado de alerta tras la revelación de una nueva campaña de phishing dirigida por el grupo de hackers rusos APT29, también conocidos como Midnight Blizzard o Cozy Bear. Este grupo, vinculado con los servicios de inteligencia del Kremlin, ha lanzado un ataque sofisticado contra uno de los principales partidos políticos de Alemania, la Unión Demócrata Cristiana (CDU), y se teme que la campaña se extienda a otros países europeos.
La empresa de seguridad Mandiant ha informado que los hackers han utilizado una invitación falsa a una cena del partido para engañar a sus víctimas y lograr la instalación de malware en sus sistemas. Este método de suplantación de identidad no es nuevo para APT29, quienes fueron acusados previamente de intentar robar investigaciones sobre la vacuna del coronavirus en 2020.
El ataque reciente se detectó a finales de febrero y se caracteriza por el uso de un correo electrónico que lleva el logotipo de la CDU para ganar rápidamente la confianza de las víctimas. El enlace de phishing incluido en el documento conduce a un archivo ZIP malicioso que contiene un dropper de ROOTSAW, alojado en un sitio web controlado por los atacantes.
ROOTSAW es conocido por ser el componente central en los intentos de acceso inicial de APT29, con el objetivo de recopilar inteligencia política. Además, se ha observado el uso de otro software malicioso llamado WINELOADER, que fue empleado en operaciones contra organismos diplomáticos en varios países.
Mandiant advierte que esta actividad representa una amenaza significativa para los partidos políticos europeos y occidentales, y subraya la importancia de estar vigilantes ante los cambios en la dinámica política que puedan ser de interés para Moscú, especialmente en relación con Ucrania y otras áreas de tensión política.
Este informe pone de manifiesto la necesidad de fortalecer las medidas de ciberseguridad y la cooperación internacional para contrarrestar las amenazas que emergen en el ámbito digital.