ESET Research descubrió recientemente la ‘Operación Texonto’, una campaña de desinformación/operaciones psicológicas (PSYOPs) que utiliza correos electrónicos como principal método de distribución. A través de mensajes enviados en dos oleadas de PSYOP, los actores maliciosos alineados con Rusia intentaron influir en los ciudadanos ucranianos y hacerles creer que Rusia está ganando la guerra. La primera oleada tuvo lugar en noviembre de 2023 y la segunda a finales de diciembre de 2023.
Con relación a los mensajes, el contenido de los correos electrónicos versaba sobre interrupciones de la calefacción, escasez de medicamentos y escasez de alimentos, temas típicos de la propaganda rusa. Además, en octubre de 2023, ESET detectó una campaña de spearphishing dirigida a una empresa de defensa ucraniana, y otra dirigida a una agencia de la UE en noviembre de 2023 que utilizaba páginas de inicio de sesión de Microsoft falsas y de aspecto estándar. El objetivo de ambos era robar credenciales de cuentas de Microsoft Office 365. Debido a las similitudes en la infraestructura de red utilizada en estas operaciones de PSYOP y phishing, la investigación de ESET puede afirmar con alta confianza que están vinculadas.
“Desde el inicio de la guerra en Ucrania, grupos alineados con Rusia, como Sandworm, se han dedicado a perturbar la infraestructura informática ucraniana utilizando wipers para borrar información. En los últimos meses, hemos observado un repunte de las operaciones de ciberespionaje, especialmente por parte del infame grupo Gamaredon. La operación Texonto muestra otro uso de las tecnologías para tratar de influir en la guerra”, afirma el investigador de ESET, Matthieu Faou, quién descubrió la Operación Texonto.
“La extraña mezcla de espionaje, operaciones de desinformación y falsos mensajes farmacéuticos solo puede recordarnos a Callisto, un conocido grupo de ciberespionaje alineado con Rusia, cuyos algunos miembros fueron objeto de una acusación por parte del Departamento de Justicia de Estados Unidos en diciembre de 2023. Callisto se dirige a funcionarios públicos, personal de grupos de reflexión y organizaciones relacionadas con el ejército a través de sitios web de phishing dirigido diseñados para imitar a los proveedores habituales de servicios en la nube. El grupo también ha llevado a cabo operaciones de desinformación, como una filtración de documentos justo antes de las elecciones generales británicas de 2019. Por último, su antigua infraestructura de red conduce a dominios farmacéuticos falsos”, continua Faou. Sin embargo, el investigador comenta que “Aunque hay varios puntos de similitud a alto nivel entre la Operación Texonto y las operaciones Callisto, no hemos encontrado ninguna coincidencia técnica, y actualmente no atribuimos la Operación Texonto a un actor malicioso específico. Sin embargo, dadas las TTP, los objetivos y la difusión de los mensajes, atribuimos la operación con un alto grado de confianza a un grupo alineado con Rusia”.
Un servidor de correo electrónico, operado por los atacantes y utilizado para enviar los correos de PSYOPs, fue reutilizado dos semanas después para enviar el típico spam farmacéutico en Canadá. Esta categoría de negocio ilegal es muy popular entre la comunidad de ciberdelincuentes rusos desde hace mucho tiempo. Algunos pivotes más también revelaron nombres de dominio que forman parte de la Operación Texonto y están relacionados con temas internos rusos, como Alexei Navalny, el conocido líder de la oposición rusa que cumplía condena en la cárcel y falleció el pasado 16 de febrero. Esto significa que la Operación Texonto incluye probablemente operaciones de spearphishing o de información dirigidas a disidentes rusos.
El objetivo de la primera oleada de correos electrónicos de desinformación era sembrar la duda en la mente de los ucranianos; por ejemplo, un correo dice: «Puede haber interrupciones de la calefacción este invierno«. Otros, supuestamente del Ministerio de Sanidad, hablan de escasez de medicamentos. No parece que hubiera enlaces maliciosos ni malware en esta oleada concreta, solo desinformación. Un dominio que se hacía pasar por el Ministerio de Política Agraria y Alimentación de Ucrania recomendaba sustituir los medicamentos no disponibles por hierbas. En otro correo electrónico presuntamente del Ministerio, sugieren comer «risotto de paloma», y han adjuntado al email una foto de una paloma viva y otra de una paloma cocida. Estos documentos fueron creados a propósito para provocar y desmoralizar a los lectores. En general, estos mensajes falsos coinciden con los temas habituales de la propaganda rusa. Intentan hacer creer a los ucranianos que no tendrán medicamentos, alimentos ni calefacción a causa de la guerra entre Rusia y Ucrania.
Aproximadamente un mes después de la primera oleada, ESET detectó una segunda campaña de correo electrónico de PSYOPs dirigida no sólo a ucranianos, sino también a personas de otros países europeos. Los objetivos son algo aleatorios, desde el gobierno ucraniano hasta un fabricante de zapatos italiano. Según la telemetría de ESET, unos cientos de personas recibieron correos electrónicos en esta oleada. La segunda oleada fue más oscura en sus mensajes, con los atacantes sugiriendo a la gente amputarse una pierna o un brazo para evitar el despliegue militar. En general, tiene todas las características de las PSYOP en tiempos de guerra.
Los productos y la investigación de ESET han estado protegiendo la infraestructura de TI ucraniana durante muchos años. Y desde el inicio de la invasión rusa en febrero de 2022, ESET Research ha prevenido e investigado un número significativo de ataques lanzados por grupos alineados con Rusia.
Matthieu Faou. Consulta el post en inglés aquí.