Una empresa con sede en Moscú sancionada por Estados Unidos a principios de este año ha sido vinculada a otra operación de influencia diseñada para poner a la opinión pública en contra de Ucrania y erosionar el apoyo occidental desde al menos diciembre de 2023.
La campaña encubierta llevada a cabo por Social Design Agency (SDA) aprovecha videos mejorados con inteligencia artificial (IA) y sitios web falsos que se hacen pasar por fuentes de noticias confiables para dirigirse a audiencias en Ucrania, Europa y Estados Unidos. El grupo Insikt de Recorded Future la ha denominado Operación Undercut.
«Esta operación, que se ejecuta en conjunto con otras campañas como Doppelganger, está diseñada para desacreditar al liderazgo de Ucrania, cuestionar la eficacia de la ayuda occidental y avivar las tensiones sociopolíticas», dijo la empresa de ciberseguridad.
«La campaña también busca moldear las narrativas en torno a las elecciones estadounidenses de 2024 y los conflictos geopolíticos, como la situación entre Israel y Gaza, para profundizar las divisiones».
Social Design Agency ha sido atribuida anteriormente a Doppelganger, que también emplea cuentas de redes sociales y una red de sitios de noticias no auténticos para influir en la opinión pública. La empresa y sus fundadores fueron sancionados por Estados Unidos a principios de marzo, junto con otra empresa rusa conocida como Structura.
Operation Undercut comparte infraestructura con Doppelganger y Operation Overload (también conocidas como Matryoshka y Storm-1679), una campaña de influencia alineada con Rusia que ha intentado socavar las elecciones francesas de 2024, los Juegos Olímpicos de París y las elecciones presidenciales de Estados Unidos utilizando una combinación de sitios de noticias falsas, recursos de verificación de datos falsos y audio generado por IA.
La última campaña no es diferente, ya que abusa de la confianza que los usuarios depositan en las marcas de medios de comunicación de confianza y aprovecha los vídeos e imágenes impulsados por IA que imitan a las fuentes de los medios de comunicación para darle más credibilidad. Se han utilizado no menos de 500 cuentas que abarcan varias plataformas de redes sociales, como 9gag y America’s best pics and videos, para amplificar el contenido.
Además, se ha descubierto que la operación utiliza hashtags de tendencia en países e idiomas específicos para llegar a una audiencia más grande, así como para promover contenido de CopyCop (también conocido como Storm-1516).
«La Operación Undercut es parte de la estrategia más amplia de Rusia para desestabilizar las alianzas occidentales y retratar al liderazgo de Ucrania como ineficaz y corrupto», dijo Recorded Future. «Al dirigirse a audiencias en Europa y Estados Unidos, la SDA busca amplificar el sentimiento anti-Ucrania, con la esperanza de reducir el flujo de ayuda militar occidental a Ucrania».
La revelación se produce después de que se observara al actor de amenazas APT28 (también conocido como GruesomeLarch), vinculado a Rusia, vulnerando los datos de una empresa estadounidense a principios de febrero de 2022 mediante una técnica inusual denominada ataque al vecino más cercano, que implicaba primero comprometer una entidad diferente ubicada en un edificio adyacente ubicado dentro del alcance de Wi-Fi del objetivo.
El objetivo final del ataque dirigido a la organización anónima, que tuvo lugar justo antes de la invasión rusa de Ucrania, era recopilar datos de personas con experiencia y proyectos que involucraran activamente a la nación.
Se dice que el ataque se llevó a cabo mediante ataques de rociado de contraseñas contra un servicio público en la red de la empresa para obtener credenciales inalámbricas válidas y aprovechar el hecho de que la conexión a la red Wi-Fi de la empresa no requería autenticación multifactor.
La estrategia, según Volexity, era violar la segunda organización ubicada al otro lado de la calle del objetivo y usarla como conducto para moverse lateralmente a través de su red y finalmente conectarse a la red Wi-Fi de la empresa prevista proporcionando las credenciales obtenidas previamente, mientras se encontraba a miles de kilómetros de distancia.
«La vulneración de estas credenciales por sí sola no permitió el acceso al entorno del cliente, ya que todos los recursos que dan a Internet requerían el uso de autenticación multifactor», dijeron Sean Koessel, Steven Adair y Tom Lancaster. «Sin embargo, la red Wi-Fi no estaba protegida por MFA, lo que significa que la proximidad a la red objetivo y las credenciales válidas eran los únicos requisitos para conectarse».