IAmTheKing, el cibercriminal que está detrás del ‘malware’ SlothfulMedia

ciberdelincuente, cibercriminal
Redacción

Recientemente la Agencia de Ciberseguridad (CISA) del Departamento de Seguridad Nacional (DHS) norteamericano, difundió información sobre una familia de malware conocida como SlothfulMedia. En ella, se atribuía su autoría a un actor de ciberamenazas muy sofisticado. Ahora Kaspersky ha confirmado, tras un análisis más detallado del informe, que se trata de IAmTheKing. De hecho, el fabricante llevaba rastreando sus actividades desde junio de 2018 y ha comprobado que ha estado muy activo en los últimos años.

“IAmTheKing ha estado funcionando durante varios años y sus actividades son muy específicas; aunque su kit de herramientas, a pesar de estar bien desarrollado, no se puede considerar como técnicamente excepcional. Una vez que se ha hecho pública la existencia de este actor de ciberamenazas, cada vez más organizaciones buscarán hacerse con este kit de herramientas”, afirma Ivan Kwiatkowski, investigador senior de seguridad del equipo de análisis e investigación global de Kaspersky (GReAT).

Por ello, la empresa ha decidido compartir los datos que han recopilado hasta el momento. Además, este ciberdelincuente dispone de un kit de herramientas en continua evolución y domina las metodologías de pruebas de penetración tradicionales. Asimismo, cuenta con sólidos conocimientos de Powershell, una herramienta para la automatización de tareas y la gestión de la configuración.

Otras amenazas aparte del malware SlothfulMedia

En los últimos dos años, los investigadores de Kaspersky lograron descubrir tres familias de malware desarrolladas por el mismo actor de ciberamenazas: KingOfHearts, QueenofHearts y QueenofClubs. Las tres son puertas traseras; es decir, programas que facilitan el acceso remoto al dispositivo infectado. Sin embargo, el kit de herramientas utilizado por el actor de amenazas también incluye un amplio arsenal de scripts Powershell, un dropper de JackOfHearts y una utilidad de captura de pantalla. Los atacantes recurrieron principalmente a técnicas de spear phishing para infectar con malware los dispositivos de las víctimas. A continuación, recurrieron a programas de control de seguridad conocidos para comprometer a otras máquinas dentro de la misma red.

Finalmente, el fabricante desvela que, hasta hace muy poco, IAmTheKing se había centrado en recopilar inteligencia de organizaciones rusas de alto nivel. Entre sus víctimas estaban entidades de la Administración, contratistas del sector de defensa, agencias de desarrollo público, universidades y compañías energéticas. Sin embargo, en 2020 Kaspersky descubrió incidentes relacionados con IAmTheKing en países del este de Europa y Asia Central. La CISA también ha informado sobre actividades en Ucrania y Malasia. Así pues, no está claro si los cambios en los destinos objetivo son un indicio de que el actor está adaptando su estrategia o de si su kit de herramientas está siendo utilizado por otros actores.