Detección y atribución del malware AUTHENTIC ANTICS
El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) señaló la autoría del GRU ruso en el desarrollo de la herramienta maliciosa denominada AUTHENTIC ANTICS. Esta atribución oficial liga directamente al grupo APT28, también conocido como Fancy Bear, Forest Blizzard o Blue Delta.
La Unidad Militar 26165 del GRU figura como responsable de la creación y el despliegue del software malicioso en entornos corporativos. Se subraya que esta operación forma parte de una estrategia persistente para comprometer sistemas basados en servicios en la nube.
El objetivo principal de AUTHENTIC ANTICS es pasar desapercibido dentro de clientes de correo electrónico alojados en plataformas en la nube de Microsoft, aprovechando privilegios elevados para inyectarse y mantenerse oculto sin generar alertas en los sistemas de seguridad.
Modus operandi de la herramienta oculta en entornos cloud
La primera fase del ataque consiste en infiltrarse en el entorno de correo electrónico de la víctima, logrando acceso a través de vulnerabilidades no parcheadas o credenciales comprometidas.
Posteriormente, se activa una pantalla falsa de inicio de sesión de forma intermitente, diseñada para engañar al usuario y capturar sus datos de acceso en tiempo real.
Una vez obtenidos usuario, contraseña y tokens de autenticación, el malware envía esta información desde la propia cuenta de la víctima hacia buzones secretos controlados por los atacantes, evitando dejar registros en la carpeta de enviados.
Este método de exfiltración sin dejar rastros dificulta la detección y la respuesta forense, manteniendo el acceso persistente al sistema comprometido.
Investigación conjunta de ciberseguridad y sanciones al GRU
El incidente se descubrió en 2023 durante una colaboración entre Microsoft y la firma NCC Group, bajo supervisión del NCSC. Ambas entidades analizaron patrones de ataque para identificar la infraestructura de comando y control.
En paralelo, el gobierno británico impuso sanciones a las unidades 26165, 29155 y 74455 del GRU, así como a dieciocho agentes vinculados a operaciones de interferencia cibernética y desinformación.
Las medidas incluyen prohibiciones de viaje y congelación de activos, orientadas a contener futuros ataques y a presionar por la rendición de cuentas de los responsables de estas actividades.
Avisos de autoridades sobre la amenaza persistente
El director de operaciones del NCSC advirtió sobre la sofisticación de este tipo de software malicioso, señalando la necesidad de reforzar mecanismos de defensa en entornos cloud.
El secretario de Asuntos Exteriores del Reino Unido resaltó la implicación del GRU en campañas de desestabilización, enfatizando la vigilancia continua para proteger infraestructuras críticas.
