Analistas de seguridad informática descubrieron una infraestructura «técnicamente sofisticada» de ciberespionaje con capacidad para llevar adelante una nutrida serie de tareas «nunca antes vistas», como robar información de la cola de trabajos de impresoras o de dispositivos USB.
La herramienta se llama «TajMahal«, está activa al menos desde 2013, tiene 80 elementos maliciosos y no aparenta tener conexiones con ningún grupo de hackers conocido, señalan los resultados de un investigación publicada ayer por especialistas de la empresa rusa Kaspersky.
Este «spyaware» (como se llama a los programas espías) fue encontrado en una embajada de Asia central -cuya nacionalidad y ubicación los investigadores prefieren no revelar-, aunque es «muy probable que otras entidades hayan sido afectadas», detalla el reporte.
La plataforma «diseñada para una extensa operación de ciberespionaje» fue desarrollada y utilizada durante los últimos cinco años y la muestra de actividad más reciente data de agosto de 2018.
TajMahal está separada en paquetes con distintas funcionalidades: uno de ellos, denominado «Tokyo», contiene la función de «puerta trasera» -es decir que otorga a los atacantes un acceso remoto al equipo infectado- y se conecta periódicamente con los servidores de comando y control.
Otro, bautizado Yokohama, es en sí mismo una infraestructura de espionaje completa y cuenta con una batería de opciones como complementos para grabar audio, capturar pulsaciones del teclado, grabar capturas de pantalla y cámara web, al igual que herramientas para el robo de documentos y claves criptográficas, detalla la investigación.
La herramienta también es capaz de robar los cookies del navegador, recopilar la lista de copias de seguridad para dispositivos móviles de Apple, robar datos de un CD grabado por la víctima o los documentos que están en cola en una impresora.
También puede solicitar el robo de un archivo particular, de una memoria USB, el cual será extraído la próxima vez que el USB se conecte al computador.
Si bien esta plataforma de malware se encontró en la embajada en cuestión, los investigadores no saben cómo las computadoras de esa delegación diplomática resultaron infectadas.
«La estructura TajMahal es un descubrimiento muy interesante y preocupante. Su sofisticación técnica va más allá de cualquier duda, y cuenta con unas funcionalidades que hasta ahora no habíamos visto en ningún otro actor de amenazas avanzadas», señaló Alexey Shulmin, analista jefe de malware en Kaspersky.
Para el investigador, resulta «improbable que se haya podido realizar una gran inversión solo para infectar a una víctima», por lo que «parece algo lógico» que este sistema malicioso esté oculto en otros lugares.
«Tampoco tenemos ninguna pista sobre su posible autoría ni hemos encontrado relación con grupos de amenazas conocidos», subrayó.