RedCurl
Perfil del Actor
RedCurl es un actor de amenaza identificado como threat-actor en la base de datos MITRE. Activo desde 2018, este grupo ha sido asociado con actividades de espionaje corporativo y operaciones de ciberdelincuencia orientadas a sectores críticos. Se le atribuye un lenguaje y cultura de operación vinculados a hablantes rusos, lo que sugiere una posible conexión con regiones o grupos con intereses geopolíticos similares.
Las actividades de RedCurl se han documentado en múltiples países, incluyendo Ucrania, Canadá y el Reino Unido. Su objetivo principal parece ser la recolección de información sensible de organizaciones, particularmente en sectores como agencias de viajes, empresas de seguros y bancos.
Origen y Motivación
RedCurl fue primero identificado en 2018 y ha tenido una presencia activa hasta el momento. Aunque no se han revelado detalles concretos sobre su origen geográfico, su nombre y la descripción de sus operaciones sugieren un enfoque estratégico basado en la inteligencia corporativa y la ciberespionaje. La motivación parece estar relacionada con la obtención de información sensible para beneficios económicos o políticos.
La asociación con grupos rusohablantes podría indicar una conexión con entidades o individuos que operan en espacios geopolíticos específicos, aunque no se han confirmado conexiones directas con organizaciones gubernamentales o corporativas.
Técnicas y Tacticas (TTPs)
RedCurl utiliza un conjunto de técnicas y tácticas características de operaciones de ciberespionaje. Estas incluyen:
- Phishing y spear-phishing: Envío de correos electrónicos engañosos para obtener credenciales de usuarios clave.
- Exploit de vulnerabilidades cero día: Uso de parches no publicados para comprometer sistemas de objetivo.
- Acceso a redes internas: Una vez obtenidas credenciales, el grupo se adentra en las redes internas de las organizaciones para recolectar datos sensibles.
- Campañas de ingeniería social: Manipulación de empleados o colaboradores para facilitar la entrada al sistema.
Campanias Conocidas
RedCurl ha sido vinculado con múltiples campañas de ciberataques, incluyendo:
- Campaña en Ucrania: Foco en agencias gubernamentales y empresas financieras locales.
- Operación en Canadá: Enfocado en sectores de seguros y banca, con acceso a sistemas críticos.
- Infiltraciones en el Reino Unido: Trazabilidad de actividades en organismos de control y empresas de logística.
Objetivos y Victimas
El principal objetivo de RedCurl es la recolección de inteligencia corporativa, con un enfoque en:
- Sectores críticos: Bancos, seguros, agencias de viajes y organizaciones gubernamentales.
- Victimas específicas: Empresas con acceso a datos sensibles o infraestructuras críticas.
- Estrategia de longevidad: En lugar de ataques disruptivos, el grupo parece priorizar la obtención de información para futuros usos.
Indicadores de Compromiso (IOCs)
No hay indicadores de compromiso públicos disponibles. La información proporcionada no incluye datos concretos sobre IP, dominios o archivos maliciosos asociados a RedCurl. Los detalles técnicos de sus operaciones siguen siendo privados o no documentados en fuentes públicas.
Detección y Defensa
Para mitigar el riesgo de una operación por parte de RedCurl, las organizaciones deben:
- Monitorear actividades anómalas: Buscar patrones inusuales en accesos a sistemas o transferencias de datos.
- Implementar SIEM (Sistema de Investigación e Inteligencia de Seguridad): Para detectar comportamientos sospechosos en redes internas.
- Proteger credenciales críticas: Usar autenticación de dos factores y controlar el acceso a sistemas sensibles.
- Actualización constante: Mantener software y sistemas actualizados para cerrar vulnerabilidades cero día.