En una reciente alerta, investigadores de ciberseguridad de Microsoft han puesto en evidencia la presencia de una herramienta maliciosa personalizada llamada GooseEgg. Esta herramienta está siendo utilizada por el grupo de hackers rusos Forest Blizzard con el fin de aprovechar vulnerabilidades en el sistema Windows, particularmente en el servicio Print Spooler, lo que les permite ejecutar código de forma remota y colocar puertas traseras para robar credenciales.

Forest Blizzard, conocido también como Sofacy y Fancy Bear, es vinculado con la Unidad 26165 de la agencia de inteligencia militar de Rusia, específicamente con la GRU. Este grupo se concentra en atacar organizaciones gubernamentales, energéticas y de transporte en países como Ucrania, Estados Unidos, Europa y Oriente Próximo, así como en medios de comunicación, instituciones educativas y organizaciones deportivas a nivel global.

Desde al menos 2010, Forest Blizzard ha estado recopilando inteligencia para respaldar las iniciativas de política exterior del gobierno ruso. Ahora, se ha revelado que utilizan GooseEgg para explotar vulnerabilidades en Windows, como las encontradas en el servicio Print Spooler, según ha informado el equipo de investigadores de Microsoft Threat Intelligence.

La herramienta GooseEgg modificó un archivo de restricciones de JavaScript para obtener permisos de sistema a través de la vulnerabilidad identificada como CVE-2022-38028. Con esto, los hackers rusos pudieron llevar a cabo actividades maliciosas en redes comprometidas, como la instalación de puertas traseras y el robo de credenciales e información de organizaciones gubernamentales.

No obstante, GoosEgg no se limita solo a Print Spooler, ya que también se ha utilizado para atacar dos vulnerabilidades en el servicio PrintNightmare (CVE-2021-34527 y CVE-2021-1675) que fueron solucionadas por Microsoft en 2021. Se cree que esta herramienta ha estado en uso desde al menos junio de 2020 y posiblemente desde abril de 2019.

Ante esta situación, se recomienda a los usuarios y organizaciones que actualicen tanto Print Spooler como PrintNightmare para implementar las correcciones correspondientes y evitar posibles ataques. Igualmente, es importante seguir las recomendaciones de protección de credenciales de Microsoft y utilizar programas antivirus como Microsoft Defender para prevenir este tipo de amenazas.