Un grupo de amenazas pro-Hamas conocido como Gaza Cyber Gang está dirigido hacia entidades palestinas utilizando una versión actualizada de una puerta trasera llamada Pierogi++. Estos hallazgos provienen de SentinelOne, que denominó al malware Pierogi++ debido a su implementación en el lenguaje de programación C++, en contraste con su predecesor basado en Delphi y Pascal.
Según el informe de seguridad de Aleksandar Milenkoski, este grupo ha estado llevando a cabo ataques constantes contra entidades palestinas, sin cambios significativos en su dinámica desde el inicio de la guerra entre Israel y Hamas. Gaza Cyber Gang ha estado activo desde al menos 2012 y tiene un historial de ataques en todo el Medio Oriente, con un enfoque particular en Israel y Palestina, a menudo utilizando el phishing como método de acceso inicial.
Te podrá interesar leer: Explorando los 7 Grupos de Hackers Más Temidos en 2023
El grupo cuenta con varias familias de malware en su arsenal, incluyendo BarbWire, DropBook, LastConn, Molerat Loader, Micropsia, NimbleMamba, SharpStage, Spark, Pierogi, PoisonIvy y XtremeRAT, entre otros. Se cree que este actor de amenazas es una combinación de varios subgrupos que comparten características de victimología y malware superpuestos, como Molerats, Arid Viper y un grupo conocido como Operación Parlamento por Kaspersky.
En los últimos meses, Gaza Cyber Gang ha estado vinculado a una serie de ataques que han utilizado variantes mejoradas de sus implantes Micropsia y Arid Gopher, así como un nuevo descargador de acceso inicial llamado IronWind. El último conjunto de intrusiones organizadas por este grupo se ha basado en el uso de Pierogi++ y Micropsia, con el primer registro conocido de Pierogi++ a finales de 2022.
Te podrá interesar leer: ¿Qué es Backdoor?: Protegiendo tu Sistema Digital
Las cadenas de ataques se caracterizan por emplear documentos señuelo escritos en árabe o inglés, relacionados con temas de interés para los palestinos, como medio para abrir puertas traseras.
En febrero de 2020, Cybereason arrojó luz sobre Pierogi, describiéndolo como un implante que habilita a los atacantes para espiar a víctimas específicas. Se destacó que los comandos utilizados para comunicarse con los servidores de comando y control, así como con otras cadenas en el binario, estaban escritos en ucraniano. En ese momento, se evaluó que la puerta trasera podría haber sido adquirida en comunidades clandestinas y no de forma local.
Tanto Pierogi como Pierogi++ tienen la capacidad de capturar pantallas, ejecutar comandos y descargar archivos proporcionados por el atacante. Un detalle importante es que las versiones actualizadas ya no incorporan cadenas en ucraniano en el código.
La investigación de SentinelOne sobre las operaciones de Gaza Cyber Gang también ha revelado conexiones tácticas entre dos campañas diferentes llamadas Big Bang y Operación Barbie Barbuda, además de reforzar los vínculos entre este actor de amenazas y WIRTE, como previamente señaló Kaspersky en noviembre de 2021.
A pesar de su enfoque continuo en Palestina, el descubrimiento de Pierogi++ destaca que el grupo sigue perfeccionando y actualizando su malware con el objetivo de asegurar el compromiso exitoso de sus objetivos y mantener un acceso persistente a sus redes.
Aleksandar Milenkoski comentó: "Las similitudes en los ataques y el malware en los subgrupos de Gaza Cyber Gang después de 2018 sugieren que el grupo posiblemente haya estado en un proceso de consolidación, que podría incluir la creación de un centro interno de desarrollo y mantenimiento de malware, así como la racionalización de la provisión de proveedores externos".
Te podrá interesar leer: Conflicto Palestino-Israelí: Impacto en el Ciberespacio
Conclusión
Pierogi++ es una nueva amenaza cibernética que ha surgido en el panorama de la ciberseguridad y está siendo utilizada por un grupo de ciberdelincuentes con base en Gaza. Su capacidad para robar información confidencial y espiar sistemas lo convierte en un peligro significativo. Sin embargo, con la implementación de buenas prácticas de seguridad y la conciencia adecuada, las organizaciones y los usuarios pueden protegerse contra esta y otras amenazas similares. La ciberseguridad es una preocupación constante en la era digital, y la prevención y la preparación son clave para mantenerse a salvo en línea.