Cybereason Nocturnus ha descubierto una campaña de ciberataque sofisticada y persistente, llamada Soft Cell, dirigida a proveedores de servicios de telecomunicaciones globales. Se cree que esta campaña, vinculada a grupos de hackers chinos, ha estado activa desde al menos 2012, centrándose en el robo de datos CDR (Registros de Detalles de Llamadas) y el control total de las redes de las víctimas.
Los ataques se llevan a cabo en oleadas, utilizando herramientas y técnicas sofisticadas para infiltrarse, tomar el control y mantener el acceso a los sistemas de los operadores de telecomunicaciones. El objetivo principal de los hackers es robar datos CDR, información personal, datos de pago, credenciales de inicio de sesión, datos de correo electrónico, ubicación geográfica de los usuarios y otra información confidencial.
Los atacantes han utilizado diversas herramientas maliciosas, incluyendo variantes de web shell China Chopper, variantes de Mimikatz, PoisonIvy RAT, hTran y otras herramientas personalizadas. Explotan vulnerabilidades en servidores web públicos, ejecutan comandos de reconocimiento, roban credenciales de inicio de sesión, se mueven lateralmente dentro de la red y crean cuentas de usuario falsas con altos privilegios para mantener el acceso a largo plazo.
Los datos robados se comprimen y protegen con contraseña utilizando WinRAR antes de ser extraídos a través de web shell y hTran. El análisis de los datos robados revela que el principal motivo de los hackers es recopilar inteligencia sobre individuos específicos, con fines de espionaje cibernético.
El control total de un proveedor de servicios de telecomunicaciones permite a los hackers recopilar inteligencia, sabotear redes y causar interrupciones graves. Soft Cell es un ejemplo típico de guerra cibernética, donde los hackers operan en secreto durante años para recopilar información y establecer una posición antes de llevar a cabo ataques a gran escala.
Cybereason continúa monitoreando y analizando la actividad de este grupo de hackers para detectar herramientas y organizaciones comprometidas adicionales. Los operadores de telecomunicaciones deben fortalecer la seguridad de sus sistemas, implementar soluciones de seguridad avanzadas y buscar amenazas potenciales de forma regular para prevenir ataques similares.