Star Blizzard: El Viento Helado del Ciberespionaje Ruso

En el panorama siempre cambiante de las amenazas persistentes avanzadas (APT), el grupo conocido como Star Blizzard, que también opera bajo los alias de Cold River y TA446, se destaca por su persistente actividad y su presunta conexión con la inteligencia rusa. Si bien a menudo trabaja en las sombras, la influencia de Star Blizzard se ha sentido en diversos sectores a nivel global, principalmente a través de campañas de ciberespionaje dirigidas a obtener información sensible. Comprender su origen, sus métodos y los incidentes en los que se ha visto implicado es fundamental para las organizaciones que buscan protegerse de sus intrusiones.

Bajo la Influencia del Kremlin: Atribución y Financiación

La comunidad de inteligencia de seguridad tiene un consenso sustancial al vincular a Star Blizzard con el Servicio Federal de Seguridad de Rusia (FSB). Esta atribución se basa en el análisis técnico de sus herramientas y tácticas, así como en la naturaleza de sus objetivos, que a menudo se alinean con los intereses geopolíticos de Rusia. Como un grupo APT patrocinado por el estado, se presume que Star Blizzard recibe financiación y recursos directamente del gobierno ruso. Su objetivo principal parece ser la recopilación de inteligencia de diversos objetivos, incluyendo instituciones académicas, gobiernos de la OTAN, organizaciones no gubernamentales (ONGs) y think tanks.

Tácticas, Técnicas y Procedimientos (TTPs): Un Enfoque en la Ingeniería Social y el Robo de Credenciales

Star Blizzard se caracteriza por un conjunto de TTPs que se centran en la ingeniería social y el robo de credenciales para obtener acceso a las redes objetivo:

• Spear-Phishing como Vector de Ataque Primario: La técnica de spear-phishing es fundamental en las operaciones de Star Blizzard. Envían correos electrónicos altamente personalizados y dirigidos a individuos específicos dentro de las organizaciones objetivo. Estos correos a menudo contienen enlaces maliciosos que dirigen a las víctimas a páginas de inicio de sesión falsas diseñadas para robar sus credenciales de cuentas, especialmente cuentas de correo electrónico. En algunos casos, también han utilizado archivos adjuntos maliciosos en sus correos de phishing.
• Robo de Cookies de Sesión Web: Una táctica distintiva de Star Blizzard es el robo de cookies de sesión web utilizando herramientas como EvilGinx. Al obtener estas cookies, los atacantes pueden eludir la autenticación multifactor (MFA) y acceder a las cuentas de las víctimas sin necesidad de la contraseña o códigos de autenticación adicionales.
• Investigación Exhaustiva de las Víctimas: Antes de lanzar sus ataques, Star Blizzard realiza una investigación exhaustiva de sus objetivos utilizando fuentes de inteligencia de código abierto y redes sociales. Esto les permite personalizar sus correos de phishing y páginas de inicio de sesión falsas para que parezcan más legítimas y convincentes. También han creado perfiles falsos en redes profesionales para llevar a cabo reconocimiento.
• Abuso de Cuentas Comprometidas: En algunos casos, se ha observado a Star Blizzard utilizando cuentas de correo electrónico de víctimas previamente comprometidas para llevar a cabo ataques de spear-phishing contra los contactos de esas víctimas, lo que aumenta la probabilidad de éxito.
• Uso de Infraestructura para Phishing: El grupo registra dominios que imitan los nombres de dominio de organizaciones legítimas para alojar sus páginas de inicio de sesión falsas utilizadas en sus campañas de phishing.
• Recopilación Remota de Correo Electrónico: Star Blizzard interactúa directamente con servicios Exchange expuestos externamente, Office 365 y Google Workspace para acceder al correo electrónico y robar información utilizando credenciales o tokens de acceso comprometidos. También han abusado de las reglas de reenvío de correo electrónico para monitorear la actividad de las víctimas y mantener el acceso persistente.
• Entrega de Malware Específico: Si bien su enfoque principal parece ser el robo de credenciales, en algunos casos, se ha observado a Star Blizzard entregando malware y tratando de acceder a archivos del sistema. Recientemente, se identificó una nueva familia de malware llamada LostKeys utilizada por el grupo.

Casos Conocidos y su Alcance Global:

Star Blizzard ha estado implicado en varias campañas de ciberespionaje de alto perfil que demuestran su persistencia y su interés en una amplia gama de objetivos:

• Campaña de Spear-Phishing Dirigida a WhatsApp (Noviembre de 2024): Recientemente, se observó a Star Blizzard modificando sus tácticas para dirigirse a cuentas de WhatsApp a través de una nueva campaña de spear-phishing. Los atacantes enviaban correos electrónicos que supuestamente provenían de un funcionario del gobierno de los EE. UU. y contenían un código QR que dirigía a las víctimas a información sobre el apoyo a las ONG ucranianas. Al escanear el código QR, los atacantes obtenían acceso a la cuenta de WhatsApp de la víctima.
• Campaña de Robo de Credenciales Dirigida a Académicos, Gobiernos de la OTAN y ONGs: Star Blizzard es conocido por llevar a cabo extensas campañas de spear-phishing dirigidas a organizaciones académicas, gobiernos de la OTAN, ONGs y think tanks. El objetivo principal de estas campañas parece ser la recopilación de inteligencia mediante el acceso a cuentas de correo electrónico.
• Uso de la Técnica ClickFix para Distribuir Malware LostKeys (2025): En ataques observados en enero, marzo y abril de 2025, se descubrió que Star Blizzard entregaba una nueva familia de malware llamada LostKeys como parte de una cadena de infección de varios pasos que comienza con una página web señuelo que contiene un Captcha falso y emplea la técnica ClickFix para ejecutar código malicioso.

Conclusión:

Star Blizzard (Cold River, TA446) representa una amenaza persistente y sofisticada, presuntamente vinculada al FSB ruso. Su enfoque en la ingeniería social y el robo de credenciales, combinado con su capacidad para adaptarse a nuevas plataformas como WhatsApp, los convierte en un adversario peligroso, especialmente para organizaciones e individuos de interés para la inteligencia rusa. Las organizaciones deben implementar defensas sólidas contra el phishing, incluyendo la autenticación multifactor obligatoria en todas las cuentas, la concienciación de los empleados sobre las tácticas de ingeniería social y la monitorización de actividades sospechosas en sus redes. Comprender las tácticas y el historial de Star Blizzard es esencial para protegerse contra sus campañas de ciberespionaje en curso.