Código falso, precios inflados
Los investigadores de CloudSEK analizaron aproximadamente 25.000 publicaciones en Telegram, muchas de las cuales afirmaban vender código Pegasus auténtico, añade el comunicado. Estas publicaciones a menudo seguían un modelo común que ofrecía servicios ilícitos, con menciones frecuentes de las herramientas Pegasus y NSO.
Los investigadores de CloudSEK fueron un paso más allá e interactuaron con más de 150 vendedores potenciales.
Al interactuar con más de 150 vendedores potenciales, CloudSEK obtuvo información sobre varias muestras e indicadores compartidos por estos actores. «Esto incluía el supuesto código fuente de Pegasus, demostraciones en vivo, estructuras de archivos e instantáneas», dice el informe de CloudSEK.
El informe también identificó seis casos de muestras falsas de Pegasus HVNC (Hidden Virtual Network Computing) distribuidas en la web oscura entre mayo de 2022 y enero de 2024.
El mismo uso indebido también se observó en las plataformas web superficiales de código compartido, donde los estafadores difundieron sus propios códigos fuente generados aleatoriamente, asociándolos falsamente con el software espía Pegasus, dijo la firma de ciberseguridad en el informe.
«Después de analizar 15 muestras y más de 30 indicadores de inteligencia humana (HUMINT), fuentes de la web profunda y oscura, CloudSEK descubrió que casi todas las muestras eran fraudulentas e ineficaces», dice el comunicado que describe el resultado de la investigación. «Los actores de amenazas crearon sus propias herramientas y guiones, distribuyéndolos bajo el nombre de Pegasus para capitalizar su notoriedad con fines de lucro».