Los expertos del Equipo de Investigación y Análisis de la compañía de seguridad informática Kaspersky (GReAT) han descubierto una campaña dirigida a distribuir Milum, un troyano que obtiene el control remoto de dispositivos de distintas organizaciones, incluidas las del sector industrial. Esta operación sigue activa y se ha denominado WildPressure.
Las amenazas persistentes avanzadas (APT) suelen asociarse a ciberataques muy sofisticados. Con frecuencia, el atacante obtiene secretamente acceso a un sistema para robar información o interrumpir su funcionamiento normal. Estos ataques suelen ser creados y desplegados por actores que tienen la posibilidad de acceder a grandes recursos financieros y profesionales. Por ello, el equipo de investigación de Kaspersky se fijó rápidamente en WildPressure.
Hasta el momento, el equipo de investigación había podido obtener varias muestras casi idénticas del troyano “Milum” que no comparten ninguna similitud de código con otras campañas maliciosas conocidas. Todas ellas poseen sólidas capacidades para la gestión remota de dispositivos, lo que significa que una vez que un sistema se ha comprometido, un atacante puede tomar el control desde cualquier lugar. En concreto, el troyano puede descargar y ejecutar los comandos, recopilar información variada del dispositivo atacado y enviarlas al servidor de comando y control e incluso actualizarse a sí mismo a una versión más reciente. El equipo GReAT de Kaspersky fue testigo por primera vez de la propagación del troyano “Milum” en agosto de 2019. El análisis del código del malware mostró que las tres primeras muestras fueron creadas en marzo de 2019. Basándose en la telemetría disponible, los investigadores de Kaspersky creen que la mayoría de los objetivos de esta campaña se encuentran en Oriente Medio, y la campaña está todavía activa.
Desafortunadamente, todavía se desconoce mucho sobre esta campaña, incluyendo el mecanismo exacto de propagación de Milum. Los expertos aconsejan actualizar regularmente todo el software de la organización, especialmente cuando se publique un nuevo parche de seguridad. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y gestión de parches ayudan a automatizar estos procesos.
