Nuevos ataques del grupo fueron observados este año, incluso contra personas que tienen vínculos con la Casa Blanca.

A pesar de que sus actividades fueron expuestas el año pasado, el grupo de ciberespionaje apodado Pawn Storm ha intensificado sus esfuerzos durante los últimos meses, enfocándose en los miembros de la OTAN y, potencialmente, en la Casa Blanca.

El primer trimestre de este año "ha visto una gran cantidad de actividad del grupo", dijeron investigadores de la firma antivirus Trend Micro en una entrada de blog el jueves. "Lo más notable fue el grupo involucró la configuración de docenas de URL con exploits y una docena de nuevos servidores de Comando y Control (C&C) cuyos objetivos eran miembros de la OTAN y gobiernos en Europa, Asia y Medio Oriente".

Este grupo ha estado activo al menos desde 2007 y ha tenido como objetivo a entidades militares y gubernamentales, contratistas de defensa y organizaciones de medios de comunicación. Utiliza varios métodos de ataque contra víctimas potenciales, incluyendo correos spear phishing (correos personalizados que aparentan ser de personas o empresas conocidas) con archivos adjuntos maliciosos, exploits lanzados desde sitios web comprometidos y páginas falsas de autenticación de Microsoft Outlook Web Access (OWA).

Trend Micro documentó los ataques del grupo en octubre de 2014, revelando que su principal herramienta para robar información es un programa malicioso llamado Sednit o Sofacy. Los objetivos del grupo incluyen organizaciones militares, de gobierno y de medios en Estados Unidos y sus aliados, así como críticos del Kremlin y activistas y militares ucranianos. Esto llevó a especular que Pawn Storm podría servir a los intereses del gobierno ruso.

Algunos ataques recientes de Pawn Storm por correo dejaron de incluir archivos maliciosos adjuntos que se intercambiaron por enlaces a supuestos artículos de noticias sobre eventos geopolíticos. Estas ligas dirigen a sitios maliciosos que piden a los visitantes instalar un complemento del navegador necesario para visualizar contenido de video HTML5.

"El complemento en cuestión resulta ser una versión del spyware X-Agent o Fysbis, si eres usuario de Linux, y Sednit si estás ejecutando Windows", dijeron investigadores de Trend Micro.

El grupo también ha continuado sus ataques de phishing usando páginas falsas de autenticación a Microsoft OWA. Algunos de sus nuevos objetivos son una gran compañía estadounidense que vende combustible nuclear a las estaciones de energía, las fuerzas armadas de dos miembros europeos de la OTAN y los intermediarios de la OTAN en Ucrania.

La Casa Blanca también pudo haber sido un objetivo indirecto. En enero, el grupo Pawn Storm dirigió sus ataques contra dos bloggers populares en YouTube con ataques de phishing de Gmail, días después de que entrevistaron al presidente Barack Obama en la Casa Blanca, dijeron los investigadores de Trend Micro.

"Esta es una técnica clásica de isla en isla, en la que los atacantes enfocan sus esfuerzos no en su objetivo real sino en compañías o personas que podrían interactuar con éste, pero que pueden tener menos seguridad implementada", dijeron. "De forma similar, un conocido corresponsal militar de un importante periódico estadounidense fue atacado por medio de su dirección de correo electrónico en diciembre de 2014, probablemente filtrandose sus credenciales. Más tarde ese mes, la Operación Pawn Storm atacó alrededor de 55 empleados del mismo periódico en sus cuentas corporativas".