Desde 2012, un grupo de ciberdelincuentes ha estado plantando pruebas incriminatorias en los dispositivos de activistas pro-derechos humanos, abogados y periodistas de la India con el fin de provocar su detención por las autoridades, según ha descubierto y desvelado ahora la compañía de ciberseguridad estadounidense SentinelOne.
Según explica una de sus investigadores, Tom Hegel, en su blog corporativo, su objetivo
"es la vigilancia a largo plazo que a veces concluye con la entrega de 'pruebas' (archivos que incriminan al objetivo en ciertos delitos) justo antes de que se lleven a cabo arrestos convenientemente coordinados".
La compañía ha bautizado al citado grupo con el nombre de 'ModifiedElephant' y le atribuye "una década de actividad maliciosa persistente" no dirigida de forma indiscriminada o masiva, sino dirigida contra individuos específicos.
Aparentemente, ModifiedElephant ha podido operar durante años sin atraer la atención de la comunidad de ciberseguridad debido al alcance limitado de sus operaciones, a su enfoque exclusivamente regional y al uso de herramientas "relativamente poco sofisticadas".
Otro investigador de SentinelOne, Juan Andrés Guerrero-Saade (investigador de amenazas en SentinelOne y profesor adjunto de la Univ. Johns Hopkins) afirma en Twitter que si algo destaca de las operaciones de ModifiedElephant es
"Lo mundanos que son los mecanismos de esta operación. […] No hay nada técnicamente impresionante en este actor de amenazas, pero aún así nos maravilla su audacia".
No eran superhackers, pero han estado implicados en procesos legales muy polémicos
Esta clase de herramientas incluía técnicas de phising usadas para colarles troyanos (como NetWire y DarkComet) a través de correos electrónicos. Empezaron adjuntando archivos engañosos a sus emails (usaban ficheros con doble extensión, como nombrefichero.pdf.exe), pero luego, sobre 2015, empezaron a usar archivos RAR y documentos de Office (ppt, doc, docx) con macros maliciosas.
A partir de 2020, se registra un cambio de estrategia: difundir el malware a través de** grandes archivos comprimidos** (de unos 300 MB), para evadir los análisis antimalware de las plataformas cloud.
Una vez infectados sus objetivos, los miembros de ModifiedElephant podían abrir y usar accesos remotos a sus sistemas, o vigilarles mediante keyloggers (programas que permanecen en memoria registrando las pulsaciones del teclado).
Hace un año, una firma forense digital estadounidense, Arsenal Consulting, analizó la implicación del activista Rona Wilson —acusada bajo la Ley de Prevención de Actividades Ilegales— en el polémico caso 'Bhima Koregaon', llegando a la conclusión de que un 'actor no identificado' había comprometido su equipo portátil 22 meses antes y había aprovechado el acceso que eso le concedía para vigilarla y 'plantar' en el mismo documentos incriminatorios.
"Arsenal ha conectado ese mismo atacante a una importante infraestructura de malware que se ha desplegado en el transcurso de aproximadamente cuatro años no solo para atacar y comprometer el ordenador del Sr. Wilson, sino también para atacar a sus coacusados en el caso Bhima Koregaon y a los acusados en otros casos indios de alto perfil".
Este descubrimiento fue el origen de la investigación de SentinelOne que ahora ha dado como resultado el descubrimiento de que esa trama de vigilancia/manipulación llevaba activa desde varios años antes de lo sospechado por Arsenal Consulting.
No han podido descubrir si ModifiedElephant es un mero grupo de cibercriminales privado o si está patrocinado por algún actor estatal, pero sí han detectado que muchas de sus víctimas también lo habían sido simultáneamente de la trama de espionaje Pegasus.