Worok: grupo de ciberespionaje que ataca a empresas y gobiernos
¿Has oído hablar del grupo Workok? Investigadores de ESET, una empresa europea de ciberseguridad, han descubierto una serie de ciberataques utilizando herramientas nunca antes documentadas contra varias empresas de alto perfil y gobiernos locales.
Estos ataques fueron lanzados por un grupo de ciberespionaje previamente desconocido que ESET llamó Worok.
Workok: Ataques grupales realizados en múltiples países
Según la telemetría de ESET, el grupo ha estado activo desde al menos 2020 y permanece activo hasta el día de hoy. Entre los objetivos se encuentran empresas de telecomunicaciones, bancarias, navales, energéticas, militares, gubernamentales y del sector público.
En algunos casos, los ciberdelincuentes han utilizado las vulnerabilidades de ProxyShell (una serie de vulnerabilidades en los servidores de Exchange que ya han sido reparadas por Microsoft pero que continúan siendo explotadas en la actualidad) para obtener acceso inicial a los sistemas.
A fines de 2020, el grupo de Trabajo se dirigía a gobiernos y empresas en varios países, entre ellos:
- Una empresa de telecomunicaciones en el este de Asia
- Un banco en Asia Central
- Una empresa en la industria del transporte marítimo en el sudeste asiático
- Una entidad gubernamental en el Medio Oriente
- Una gran empresa privada en el sur de África
Hubo una caída significativa en las operaciones del grupo entre mayo de 2021 y enero de 2022, pero la actividad se reanudó en febrero de 2022, afectando:
- Una empresa de energía en Asia Central
- Una entidad del sector público en el sudeste asiático
Worok es un grupo de ciberespionaje que desarrolla sus propias herramientas y aprovecha las herramientas existentes para comprometer sus objetivos. El conjunto de herramientas del grupo incluye dos cargadores, CLRLoad y PNGLoad, y una puerta trasera, PowHeartBeat.
CLRLoad se usó en 2021, pero en 2022 fue reemplazado, en la mayoría de los casos, por PowHeartBeat. En ambos años, se utilizó PNGLoad para reconstruir payloads maliciosos ocultos en imágenes PNG. Tenga en cuenta que los cargadores son componentes de software legítimos que cargan programas y bibliotecas, pero en este caso se usaron para cargar malware.