Una investigación devela que los operadores detrás del malware Machete siguen activos y realizando operaciones de ciberespionaje. Fueron descubiertos en 2012 (se hizo público en 2014), pero este año han cambiado su versión.

Desde finales de marzo hasta finales de mayo de 2019, los investigadores de ESET han observado que habían más de 50 computadoras comprometidas que se comunicaban de manera activa con el servidor de C&C. Esto equivale a gigabytes de datos robados de manera semanal.

Más de la mitad de estos equipos pertenecían a organismos gubernamentales, en su mayoría de América Latina: Venezuela (75 %), Ecuador (16 %), Colombia (7 %) y Nicaragua (2 %). El grupo Machete envía correos electrónicos muy específicos directamente a sus víctimas, los mismos que contienen un enlace o un adjunto con un archivo comprimido autoextraíble que ejecuta el malware, a la vez que abre un documento que funciona como puerta.

Para engañar a sus blancos desprevenidos, los operadores de Machete utilizan documentos reales que han robado anteriormente. ESET ha visto casos en los que documentos robados fechados con un día en particular fueron empaquetados con malware y se utilizaron el mismo día como señuelos para comprometer a nuevas víctimas.

“La larga serie de ataques de los operadores de Machete, centrados en países de América Latina, les ha permitido recopilar inteligencia y perfeccionar sus tácticas a lo largo de los años. Conocen bien a sus objetivos, cómo esconderse entre las comunicaciones periódicas y qué documentos son los más valiosos para robar”, explica Welivesecurity.

Antecedentes en Ecuador

Aún se desconoce si Machete tiene relación con el hackeo de la cuenta de Twitter de las Fuerzas Armadas (@FUERZASARMADAS_) sucedido esta semana.

En el perfil que, luego de lo sucedido, las FF.AA. advirtieron que no es oficial, se difundieron tuits en contra de Lenin Moreno y a favor del fundador de Wikileaks, Julian Assange.

La cuenta de @pro_ecuador, del Viceministerio de Promoción de Exportaciones e Inversiones, también registró una vulneración en la misma red social.

La información favorita es la militar

Según explican desde ESET, el grupo detrás de Machete, ha robado entre finales de marzo y mayo de este año varios gigas de datos de suma importancia a nivel militar.

Otra firma de ciberseguridad: Kaspersky, informó sobre la existencia de este virus en 2014. En aquel tiempo no se limitaba exclusivamente a América del Sur, sino que se le pudo ver, en Rusia y España.

La principal función del malware era el robo de documentos militares y diplomáticos. Por entonces, la firma de ciberseguridad encontró 780 objetivos de Machete en Hispanoamérica. Entre estos destacaba también Venezuela (42%), aunque seguida de cerca por Ecuador (36%).