ICS Labs Outbreak Alert - Secret Blizzard

Microsoft Threat Intelligence ha descubierto una campaña de ciberespionaje llevada a cabo por un actor identificado como Secret Blizzard, que apunta a embajadas ubicadas en Moscú utilizando una posición de adversary-in-the-middle (AiTM) para desplegar su propio malware personalizado, ApolloShadow. Recientemente, se confirmó que este actor es capaz de realizar ciberespionaje a nivel de Proveedores de Servicios de Internet (ISP). Las acciones llevadas a cabo por Secret Blizzard se superponen con las atribuidas a VENOMOUS BEAR, Uroburos, Snake, Blue Python, Turla, Wraith, ATG26 y Waterbug.

El ApolloShadow funciona colocándose en una posición que le permite instalar certificados raíz falsos, bajo la apariencia de Kaspersky Anti-Virus. El método principal consiste en utilizar portales cautivos legítimos, pero con una redirección ilegítima, induciendo al usuario a instalar el malware. Una vez comprometido el sistema, el malware es capaz de crear una cuenta de administrador en el host infectado y garantizar un acceso persistente.

Indicadores de Compromiso (IoC)

• kav-certificates[.]info – dominio utilizado por el actor para descargar el malware.

• 45.61.149[.]109 – dirección IP controlada por el actor.

• 13fafb1ae2d5de024e68f2e2fc820bc79ef0690c40dbfd70246bcc394c52ea20 hash SHA256 del malware.

• CertificateDB.exe – nombre de archivo asociado a ApolloShadow.

  
  

Últimas actualizaciones

• 9 de enero de 2018 – WeLiveSecurity publica información sobre un grupo de ciberespionaje llamado Turla, que opera mediante backdoors y ataques man-in-the-middle.

• 9 de mayo de 2023 – CISA publica información sobre una herramienta llamada “Snake”, desarrollada por el grupo “Uroburos”.

• 31 de julio de 2025 – Microsoft Threat Intelligence publica un informe sobre Secret Blizzard.