De acordo com dados de telemetria recolhidos pela ESET, os ataques e tentativas de ataque foram realizados entre o final de 2019 e junho de 2020. Este grupo já tinha estado ligado a operações de ciberespionagem na Ucrânia e na Rússia, utilizando duas técnicas de acesso através de backdoors para espiar as suas vítimas.

“Nessa altura, descobrimos que eles usavam duas backdoors surpreendentemente sofisticadas, mas ainda não tínhamos conseguido ficar com uma ideia completa da sua forma de operar – designadamente, como é que estas backdoors eram enviadas, instaladas e se espalhavam nas redes dos sistemas atacados”, explicou Zuzana Hromcová, o investigador da ESET que analisou as atividades do InvisiMole.

Uma das principais conclusões da investigação prende-se com a cooperação do grupo InvisiMole com outro grupo de cibercriminosos, conhecido por Gamaredon. Os investigadores concluíram que o arsenal de ciberespionagem do InvisiMole só era implementado depois do Gamaredon já ter infiltrado a rede a atacar e, possivelmente, ter obtido privilégios de administração.

“A nossa pesquisa sugere que os alvos considerados pelos atacantes como sendo os mais importantes, são depois ‘atualizados’ a partir do malware relativamente simples do Gamaredon para as mais avançadas ferramentas do InvisiMole. Isto permite ao grupo InvisiMole encontrar formas criativas de operar debaixo do radar”, comenta Hromcová.

O documento completo com a análise às técnicas de ciberespionagem usadas pelo grupo InvisiMole pode ser consultado em https://www.welivesecurity.com/wp-content/uploads/2020/06/ESET_InvisiMole.pdf.