Se ha observado que el actor de amenaza de Irán-Nexus conocido como UNC2428 entrega una puerta trasera conocida como Turbio Como parte de una campaña de ingeniería social con temática de trabajo dirigida a Israel en octubre de 2024.
Mandiant propiedad de Google describió UNC2428 como un actor de amenaza alineado con Irán que se involucra en operaciones relacionadas con el ciber espionaje. Se dice que el conjunto de intrusiones distribuyó el malware a través de una “cadena compleja de técnicas de engaño”.
“La campaña de ingeniería social de UNC2428 dirigió a las personas mientras se hacía pasar por una oportunidad de reclutamiento del contratista de defensa israelí, Rafael”, la compañía dicho En su informe anual de tendencias M para 2025.
Las personas que expresaron interés fueron redirigidas a un sitio que se hizo pasar por Rafael, desde donde se les pidió que descargaran una herramienta para ayudar a solicitar el trabajo.
La herramienta (“RafaelConnect.exe”) era un instalador llamado Lonefleet que, una vez lanzado, presentaba una interfaz gráfica de usuario (GUI) a la víctima para ingresar su información personal y enviar su currículum.
Una vez presentado, la puerta trasera MurkyTour se lanzó como un proceso de fondo mediante un lanzador denominado Pile Leafpile, otorgando a los atacantes acceso persistente a la máquina comprometida.
“Los actores de Irán-Nexus amenazas incorporaron interfaces gráficas de usuario (GUI) para disfrazar la ejecución e instalación de malware como aplicaciones o software legítimos”, dijo Mandiant. “La adición de una GUI que presenta al usuario un instalador típico y está configurado para imitar la forma y la función del señuelo utilizado puede reducir las sospechas de individuos específicos”.
Vale la pena mencionar que la campaña superpuesto con actividad que la Dirección Cibernética Nacional de Israel atribuyó a un actor de amenaza iraní llamado Black Shadow.
Evaluado como operando en nombre del Ministerio de Inteligencia y Seguridad de Irán (MOI), el grupo de piratería es conocido por apuntar a una amplia gama de verticales de la industria en Israel, incluida la academia, el turismo, las comunicaciones, las finanzas, el transporte, la atención médica, el gobierno y la tecnología.
Según Mandiant, UNC2428 es uno de los muchos grupos de actividades de amenazas iraníes que han entrenado sus miras en Israel en 2024. Un grupo prominente es Cyber Toufan, que se dirigió a los usuarios con sede en Israel con el limpiaparabrisas Pokyblight patentado.
UNC3313 es otro grupo de amenazas de Irán-Nexus que ha realizado vigilancia y operaciones estratégicas de recolección de información a través de campañas de phishing de lanza. UNC3313, documentado por primera vez por la compañía en febrero de 2022, se cree que está afiliado a Muddywater.
“El actor de amenazas alojó malware en servicios populares de intercambio de archivos y enlaces integrados dentro de los señuelos de phishing con temas de capacitación y seminarios web”, dijo Mandiant. “En una de esas campañas, UNC3313 distribuyó el gotero de gelatina y la puerta trasera de Bodybox a organizaciones e individuos dirigidos por sus operaciones de phishing”.
Los ataques montados por UNC3313 se han inclinado fuertemente en hasta nueve herramientas de monitoreo y gestión remota legítimas (RMM) diferentes, una táctica exclusiva del grupo de agua Muddywater, en un intento por evitar los esfuerzos de detección y proporcionar acceso remoto persistente.
La firma de inteligencia de amenazas también dijo que observó en julio de 2024 un presunto adversario vinculado a Irán que distribuye un CactUspal con nombre en código interno al pasarlo como un instalador para el software de acceso remoto de Palo Alto Networks GlobalProtect.
El Asistente de instalación, al lanzamiento, implementa sigilosamente la puerta trasera .NET que, a su vez, verifica solo una instancia del proceso se ejecuta antes de que se comunique con un servidor externo de comando y control (C2).
A pesar del uso de herramientas RMM, también se ha observado que los actores de amenaza iraní como UNC1549 toman medidas para incorporar la infraestructura en la nube en su artesanía para garantizar que sus acciones se combinen con servicios prevalentes en entornos empresariales.
“Además de técnicas como el tipo de tipograto y la reutilización del dominio, los actores de amenaza han descubierto que alojar nodos C2 o cargas útiles en la infraestructura de la nube y el uso de dominios nativos de la nube reduce el escrutinio que puede aplicarse a sus operaciones”, dijo Mandiant.
Cualquier idea del panorama de amenazas iraníes está incompleto sin APT42 (también conocido como Charming Kitten), que es conocido por sus elaborados esfuerzos de ingeniería social y construcción de relaciones para cosechar credenciales y entregar malware a medida para la exfiltración de datos.
El actor de amenaza, por mandante, desplegó páginas de inicio de sesión falsas disfrazadas de Google, Microsoft y Yahoo! Como parte de sus campañas de recolección de credenciales, utilizando los sitios de Google y Dropbox para dirigir los objetivos para fingir las páginas de destino de Google.
En total, la compañía de seguridad cibernética dijo que identificaba a más de 20 familias de malware patentadas, incluidos droppers, descargadores y puertas traseras, utilizadas por actores iraníes en campañas en el Medio Oriente en 2024. Dos de los traseros identificados, Dodgylaffa y Spareprize, han sido empleados por APT34 (AKA Oilrig) en los ataques apuntando a las entidades iraqi.
“A medida que los actores de la amenaza de Irán-Nexus continúan persiguiendo operaciones cibernéticas que se alinean con los intereses del régimen iraní, alterarán sus metodologías para adaptarse al panorama de seguridad actual”, dijo Mandiant.
About the Author
