Microsoft ha informado de nueva actividad vinculada con el grupo ruso Nobelium, responsable del ciberataque SolarWinds del año pasado, dirigida contra proveedores de servicio y de herramientas en la nube de Europa y Estados Unidos.

Detrás de esta campaña se encuentra el grupo patrocinado por el Estado ruso Nobelium, responsable también del ciberataque a SolarWinds a finales del año pasado, por el que aprovechó una vulnerabilidad en su software Orion para comprometer la infraestructura de las organizaciones que lo utilizaban, entre las que se encontraban gobiernos, agencias estatales y empresas de todo el mundo.

Según explican desde MSTIC en su blog, esta nueva campaña «comparte los sellos distintivos del enfoque del actor de comprometer a uno para comprometer a muchos». En esta ocasión, ha comprometido las cuentas de privilegio de proveedores de servicios y herramientas en la nube para «moverse lateralmente en entornos de nube, aprovechando las relaciones de confianza para obtener acceso a clientes posteriores y permitir más ataques o acceder a sistemas específicos».

La compañía matiza que este ataque no se debe a una vulnerabilidad, «sino una continuación del uso de Mobelium de un conjunto diverso de herramientas y dinámico», como malware sofisticado, ataques a la cadena de suministro, robo de tokens o spear phishing, «para comprometer cuentas de usuario y apalancar el acceso de esas cuentas».

Microsoft ya ha notificado a las víctimas con alertas de ataques de grupos patrocinados por Estados, y ha instado a los proveedores y clientes a revisar sus sistemas para implementar soluciones que mitiguen los riesgos y fortalezcan los entornos.