La Operación Slingshot es uno de los ataques de ciberespionaje más avanzados del que se tiene conocimiento, ya que es capaz de ingresar a nuestra computadora usando el router como puerta de acceso y de esta manera tener control completo del dispositivo infectado y de toda la información.
Este malware parece estar dirigido a objetivos específicos, personas e instituciones en Medio Oriente y África. Según algunos expertos, Slingshot lleva activo cerca de 6 años y tiene unas 100 víctimas afectadas.
El poderoso virus fue descubierto por un grupo de investigadores de Kaspersky Lab cuando hallaron un keylogger dentro del ordenador de una institución gubernamental africana. Luego, se creó un seguimiento del comportamiento de este programa para ver si aparecía en otro lugar, lo que llevó a encontrarse con un archivo sospechoso dentro de la carpeta del sistema llamado 'scesrv.dll'.
El grupo de Kaspersky Lab analizó este archivo, el cual tenía en su interior un código malicioso capaz de obtener privilegios del sistema a través de 'services.exe', por lo que se trata de un virus increíblemente avanzado que se ejecuta sobre kernel, llegando así hasta el núcleo del ordenador tomando control de él sin que el usuario sin que nadie sospeche de su existencia.
De igual manera, los expertos aseguraron que Slingshot posee características extremadamente avanzadas, por lo que no hay duda de que esta herramienta fue creada por profesionales, quienes posiblemente están financiados por algún país, ya que inicialmente se creyó que se trataba de hacktivismo. Pero al ver lo sofisticado del ataque, se descartó esta teoría.
Las investigaciones que se han realizado sobre Slingshot concluyen que la infección proviene de routers hackeados, los cuales están cargados con enlaces dinámicos maliciosos o programa de descarga para otros archivos. Cuando el administrador inicia sesión para configurar el router, se descarga y ejecuta este código en el ordenador del administrador, infectando así a toda la red en sólo unos minutos.
Slingshot es una obra de arte potente y discreto, todos sus módulos y cadenas incluyen cifrado y se conectan directamente a los servicios del sistema para evitar los antivirus y otros programas de seguridad del ordenador.
Ya existen cerca de 100 afectados por este virus y están ubicados en Yemen, Kenia, Afganistán, Libia, Congo, Jordania, Turquía, Irak, Sudán, Somalia y Tanzania.
Se dio a conocer que son principalmente personas relacionadas con el gobierno y sólo algunas organizaciones, por lo que se cree que está muy bien estudiado para espiar a ciertos miembros. También se conoce que la marca de los routers infectados es Mikrotik y para evitar un posible ataque se debe actualizar el firmware a la última versión cuanto antes.