Riesgos de un ataque APT: la simulación de IberLogix
Publicado el
Introducción
La simulación de un ataque APT que tuvo lugar en IberLogix pone de manifiesto las técnicas sofisticadas utilizadas por los ciberatacantes. A través de un correo electrónico que parecía inofensivo, los atacantes lograron infiltrarse en la red de la empresa, revelando la vulnerabilidad de los sistemas ante amenazas bien diseñadas.
El ataque comienza
El ataque se inició un martes a las 08:42 con un correo electrónico que no levantaba sospechas. Su asunto, "Actualización requerida: Portal de beneficios 2026", no prometía recompensas ni amenazaba con penalizaciones. Este aspecto fue clave para su éxito. El mensaje indicaba que todos los empleados debían revisar sus beneficios tras la integración de TransIber Norte, e incluía un enlace a un portal falso, diseñado para parecer legítimo.
Estrategia de phishing
Saltline, la entidad detrás del ataque, implementó un enfoque de phishing por fases:
- Email delivery - Click en enlace - Clasificación del navegador - Validación del usuario - Solicitud de credenciales
El servidor de phishing evaluaba múltiples parámetros del visitante, como la dirección IP y el User-Agent, para determinar si era un empleado real o un analista de seguridad. Solo aquellos que cumplían con el perfil adecuado eran dirigidos al portal falso.
La trampa del loader
El portal de phishing operaba con un sistema de tokens, lo que permitía a los atacantes personalizar la experiencia para cada víctima. Dependiendo del token asociado, el ataque podía seguir diferentes rutas: captura de credenciales, phishing de consentimiento para una aplicación maliciosa, o descarga de un loader.
HTML smuggling
La técnica de HTML smuggling se utilizó para ocultar el malware. El payload no se descargaba como un archivo ejecutable tradicional, sino que se generaba localmente en el navegador y se enviaba como un archivo ZIP protegido por contraseña. Esta contraseña no era una verdadera medida de seguridad, sino un obstáculo para las herramientas automáticas de detección de malware.
Ejecución en el sistema
Dentro del ZIP, se encontraba un documento PDF falso y un archivo `.lnk`, que al ser ejecutado, lanzaba un script de PowerShell para copiar y ejecutar un malware en el sistema. Este malware, denominado `IberLogixBenefits.exe`, era una aplicación legítima vulnerable a la carga lateral de DLL. El ataque aprovechó esta vulnerabilidad para ejecutar un loader que, aunque limitado en sus funciones, establecía un canal de comunicación con los atacantes.
SeedCrate: el loader
El loader, conocido como SeedCrate, fue diseñado para ser discreto y sobrevivir en el entorno. Sus funciones eran mínimas, enfocándose en la verificación del entorno y la instalación de persistencia sin generar alertas. SeedCrate no volcaba credenciales ni escaneaba la red, lo que lo hacía menos detectable por las soluciones de seguridad convencionales.
Conclusión
La simulación de este ataque APT subraya la necesidad de una formación continua en ciberseguridad para los empleados y la implementación de medidas robustas de protección. La utilización de técnicas como el phishing avanzado y la carga lateral de DLL representan un grave riesgo para la integridad de las organizaciones. La vigilancia constante y el entrenamiento son fundamentales para mitigar estas amenazas.