Investigadores de seguridad de Trend Micro han destapado una red de ciberespionaje cuyas actividades afectan a 12,000 direcciones IP ubicadas en un centenar de países distintos.
La campaña de ciberespionaje responde a la denominación Operación SafeNet y utiliza dos tipos de phishing para engañar a los usuarios. En uno de ellos se incluyen las palabras Mongolia o Tibet en el asunto de los mensajes, cuyo objetivo es conseguir que las víctimas abran un archivo con contenidos maliciosos. En la segunda no se ha identificado un patrón común en las líneas de asunto, pero ha afectado a usuarios en India, Paquistán, China, Rusia o Estados Unidos.
En ambos casos se incita a los destinatarios a abrir un documento Word malicioso que explota una vulnerabilidad ya parcheada de Microsoft Office. Al abrirlo se instala silenciosamente un programa en el ordenador de la víctima que se conecta periódicamente a los servidores de comando de la red SafeNet de ciberespionaje. Esto permite la ejecución de código de forma remota sin su conocimiento.
Según el informe elaborado por los expertos de Trend Micro, pese a que son decenas de miles las direcciones IP comprometidas, no son tantos los usuarios finales afectados, a tenor de las comunicaciones realizadas por sus ordenadores con el centro de control del malware al que han tenido acceso. También barajan la posiblidad de que el malware haya sido originalmente desarrollado en China, aunque la infraestructura de la red hace difícil averiguar el origen de los ataques.