Detectan casos recientes de ciberespionaje por parte de FamousSparrow en México y EE.UU.

Investigadores de ESET, empresa global de ciberseguridad, detectó actividad sospechosa en el sistema de un grupo comercial de Estados Unidos (EE.UU.) que opera en el sector financiero. En la red de la víctima se hallaron herramientas maliciosas pertenecientes a FamousSparrow, un grupo de Amenaza Persistente Avanzada (APT) y ciberespionaje alineado con China.

Además, se descubrió que, como parte de esta campaña, el autor de la amenaza logró acceder a un instituto de investigación en México sólo un par de días antes del ataque en EE.UU.

Al establecer un seguimiento basado, los expertos hallaron actividad adicional del grupo entre 2022 y 2024, la cual se sigue investigando. Entre otros objetivos, se encontraba una institución gubernamental de Honduras.

FamousSparrow no andaba muerto, andaba de parranda

No se había detectado actividad de FamousSparrow desde 2022, por lo que se creía que el grupo de ciberespionaje estaba inactivo; sin embargo, seguía presente de manera indirecta.

“FamousSparrow no sólo seguía activo durante este periodo, sino que también debía estar trabajando duro para desarrollar su conjunto de herramientas, ya que la red comprometida reveló no una, sino dos versiones previamente no documentadas de SparrowDoor, el backdoor insignia de FamousSparrow”.

ESET

Ambas versiones de SparrowDoor suponen un notable avance con respecto a las anteriores, especialmente en términos de calidad del código y arquitectura, de acuerdo con la compañía de ciberseguridad.

La primera se parece al “malware de puerta trasera“, el cual permite a los atacantes acceder a un sistema sin ser detectados, al cual los investigadores de Trend Micro denominaron CrowDoor y que atribuyeron al grupo Earth Estries APT en noviembre de 2024.

La segunda es diferente a las versiones anteriores y es la primera vez que se documenta que FamousSparrow usa Shadowpad, un “malware de puerta trasera” de venta privada, conocido por ser suministrado únicamente a actores de amenazas alineados con China.

¿Qué es este grupo criminal de ciberespionaje?

FamousSparrow es un grupo de ciberespionaje con vínculos con China, activo desde al menos 2019, de acuerdo con el reporte de ESET.

La primera vez que se documentó a este grupo fue en 2021 cuando ESET observó que explotaba la vulnerabilidad ProxyLogon.

“El grupo era conocido inicialmente por atacar hoteles de todo el mundo, pero también ha atacado a gobiernos, organizaciones internacionales, empresas de ingeniería y bufetes de abogados”.

ESET

FamousSparrow es el único usuario conocido del “malware de puerta trasera” SparrowDoor.

¿Cómo determinaron los expertos que era FamousSparrow?

Aunque FamousSparrow parecía inactivo en el momento de nuestro descubrimiento, ESET atribuyó esta actividad al grupo con un alto grado de confianza.

“Los payloads desplegados son nuevas versiones de SparrowDoor, un backdoor (“malware de puerta trasera“) que parece ser exclusivo de este grupo”, según los investigadores.

Aunque estas nuevas versiones muestran mejoras significativas en la calidad del código y la arquitectura, todavía se pueden rastrear directamente a versiones anteriores, documentadas públicamente.

Te recomendamos:

Google y Fórmula E desarrollan un “driver agent” generado con inteligencia artificial

Advierten que DeepSeek podría amenazar la propiedad intelectual

¿Fue culpa de Grok? Usuarios reportan fallas en X, antes Twitter, este 27 de marzo

Recreamos estos memes al estilo de Estudio Ghibli con ayuda de la IA: ¿cómo hacer tus propias imágenes en ChatGPT?