El Grupo de Análisis de Amenazas (TAG) de Google descubrió que los actores maliciosos detrás de APT29 llevaron a cabo múltiples campañas de explotación utilizando vulnerabilidades en iOS y Chrome desde noviembre de 2023 hasta julio de 2024. Estas campañas, que afectaron a dispositivos no actualizados, aprovecharon exploits desarrollados y utilizados previamente por las empresas de spyware Intellexa y NSO Group.
Según se indica, los ataques comprometieron sitios web mediante tácticas de watering hole, utilizando exploits que originalmente fueron 0-days para obtener información sensible, como cookies de autenticación. Google publicó detalles técnicos sobre estas campañas, señalando que desconoce cómo APT29 obtuvo estos exploits, pero destaca su similitud en los marcos de explotación y carga útil con los de NSO e Intellexa, sugiriendo un posible intercambio de herramientas.
Además, Google subraya la necesidad de abordar rápidamente las vulnerabilidades, ya que, aunque ya habían sido corregidas, los ataques continuaron siendo efectivos en dispositivos sin parches.
Seguir leyendo [EN]: https://blog.google/threat-analysis-group/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits/