Se ha identificado una nueva campaña de ciberataques denominada «Operación 99», dirigida a desarrolladores de software que buscan trabajo freelance en la Web3 y criptomonedas.
El objetivo principal de los atacantes es infiltrarse en entornos de desarrollo para robar datos críticos, como código fuente, configuraciones de sistemas y claves privadas de criptomonedas, además de explotar vulnerabilidades que puedan afectar a proyectos y empresas completas.
El modus operandi en esta campaña se basa en un uso sofisticado de técnicas de ingeniería social. Los atacantes crean perfiles falsos de reclutadores en plataformas profesionales como LinkedIn, utilizando nombres y empresas ficticias. Ofrecen oportunidades atractivas a desarrolladores, como pruebas de proyectos o revisiones de código, para ganar su confianza. Una vez que logran establecer contacto, los atacantes redirigen a las víctimas a clonar repositorios maliciosos en GitLab que parecen ser legítimos, pero que contienen código diseñado para conectar los sistemas de los desarrolladores a servidores de Comando y Control (C2).
Una vez que los desarrolladores acceden, se les solicita clonar un repositorio malicioso alojado en GitLab. Este repositorio contiene código que conecta los dispositivos infectados a un servidor de comando y control (C2), permitiendo a los atacantes desplegar malware en múltiples etapas.
Impacto
El malware desplegado en Operation 99 demuestra un alto nivel de sofisticación, es notable por su diseño modular y multiplataforma, adaptándose a diferentes sistemas operativos, incluidos Windows, macOS y Linux, e incluye capacidades como:
- Registro de teclas (keylogging). Capturan pulsaciones del teclado y contenido del portapapeles, buscando información confidencial como contraseñas y claves privadas.
- Robo de datos de desarrollo. Extraen código fuente, configuraciones sensibles y otros archivos críticos del entorno de desarrollo.
- Lectura de portapapeles para capturar datos sensibles.
- Exfiltración de archivos y credenciales almacenadas en navegadores. Descifran contraseñas almacenadas en navegadores mediante técnicas avanzadas que aprovechan claves de cifrado específicas de cada sistema operativo.
- Robo de criptomonedas, accediendo a claves de billeteras digitales.
Los servidores están diseñados para enviar payloads personalizados según las características del sistema de la víctima, lo que permite ataques más precisos y difíciles de detectar. El malware está profundamente ofuscado, con scripts comprimidos en múltiples capas mediante ZLIB y codificación Base64 invertida, lo que complica significativamente el análisis por parte de expertos en ciberseguridad.
Otro aspecto preocupante es la capacidad del malware para interactuar de forma dinámica con los servidores C2. Los payloads no solo exfiltran datos, sino que también pueden ejecutar comandos en tiempo real, permitiendo a los atacantes realizar actividades adicionales como instalar nuevas herramientas maliciosas, explorar la red interna de la víctima o robar datos adicionales.
Recomendaciones
Para mitigar los riesgos asociados con esta campaña, se recomienda:
- Educar a los desarrolladores para que identifiquen tácticas de ingeniería social.
- Verificar la confiabilidad y autenticidad de repositorios Git antes de clonarlos.
- Implementar herramientas avanzadas Antimalware para detectar actividades anómalas en los endpoints.
- Revisar e implementar los Indicadores de Compromiso (IoC) disponibles si hubieren.
Referencias
https://www.acn.gov.it/portale/w/operation-99-nuova-campagna-prende-di-mira-gli-sviluppatori-software
https://securityscorecard.com/wp-content/uploads/2025/01/Report_011325_Strike_Operation99.pdf