Las agencias de ciberseguridad de Estados Unidos e Israel han publicado un nuevo aviso que atribuye a un grupo cibernético iraní tener como objetivo los Juegos Olímpicos de verano de 2024 y comprometer a un proveedor comercial francés de pantallas dinámicas para mostrar mensajes denunciando la participación de Israel en el evento deportivo.
La actividad se ha atribuido a una entidad conocida como Emennet Pasargad, que según las agencias ha estado operando bajo el nombre encubierto de Aria Sepehr Ayandehsazan (ASA) desde mediados de 2024. Es rastreado por la comunidad de ciberseguridad en general como Cotton Sandstorm, Haywire Kitten y Marnanbridge.
“El grupo exhibió una nueva habilidad en sus esfuerzos por llevar a cabo operaciones de información cibernética hasta mediados de 2024 utilizando una gran cantidad de personas encubiertas, incluidas múltiples operaciones cibernéticas que ocurrieron durante y tuvieron como objetivo los Juegos Olímpicos de verano de 2024, incluido el compromiso de una exhibición dinámica comercial francesa. proveedor”, según el consultivo.
ASA, la Oficina Federal de Investigaciones (FBI) de EE. UU., el Departamento del Tesoro y la Dirección Cibernética Nacional de Israel dijeron que también robaron contenido de cámaras IP y utilizaron software de inteligencia artificial (IA) como Remini AI Photo Enhancer, Voicemod y Murf AI para modulación de voz y Appy Pie para generación de imágenes para difundir propaganda.
Considerado como parte del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), el actor de amenazas es conocido por sus operaciones cibernéticas y de influencia bajo los nombres Al-Toufan, Anzu Team, Cyber Cheetahs, Cyber Flood, For Humanity, Menelaus y Market of Data. , entre otros.
Una de las tácticas recientemente observadas se refiere al uso de revendedores de alojamiento ficticios para proporcionar infraestructura de servidores operativos para sus propios fines, así como a un actor en el Líbano para alojar sitios web afiliados a Hamas (por ejemplo, alqassam[.]PD).
“Desde aproximadamente mediados de 2023, ASA ha utilizado varios proveedores de alojamiento de cobertura para la gestión y la ofuscación de la infraestructura”, dijeron las agencias. “Estos dos proveedores son ‘Server-Speed’ (velocidad del servidor[.]com) y ‘VPS-Agent’ (vps-agent[.]neto).”
“ASA creó sus propios revendedores y adquirió espacio de servidores de proveedores con sede en Europa, incluida la empresa BAcloud, con sede en Lituania, y Stark Industries Solutions/PQ Hosting (ubicadas en el Reino Unido y Moldavia, respectivamente). Luego, ASA aprovecha estos revendedores de cobertura para proporcionar servidores operativos a sus propios actores cibernéticos para actividades cibernéticas maliciosas”.
El ataque dirigido contra el proveedor francés de pantallas comerciales anónimo tuvo lugar en julio de 2024 utilizando una infraestructura de agente VPS. Buscaba mostrar montajes fotográficos que criticaran la participación de atletas israelíes en los Juegos Olímpicos y Paralímpicos de 2024.
Además, se alega que ASA intentó contactar a familiares de rehenes israelíes después de la guerra entre Israel y Hamas a principios de octubre de 2023 bajo la personalidad Contact-HSTG y enviar mensajes que probablemente “causarían efectos psicológicos adicionales e infligirían más traumas”.
El actor de amenazas también ha sido vinculado a otra persona conocida como Cyber Court, que promovió las actividades de varios grupos hacktivistas encubiertos dirigidos por él mismo en un canal de Telegram y un sitio web dedicado creado para este propósito (“cybercourt[.]io”).
Ambos dominios, vps-agent[.]red y cibercancha[.]io, han sido incautados tras una operación conjunta de aplicación de la ley llevada a cabo por la Fiscalía Federal para el Distrito Sur de Nueva York (SDNY) y el FBI.
Eso no es todo. Tras el estallido de la guerra, se cree que ASA ha realizado esfuerzos para enumerar y obtener contenido de cámaras IP en Israel, Gaza e Irán, así como para recopilar información sobre pilotos de combate israelíes y operadores de vehículos aéreos no tripulados (UAV) a través de sitios como knowem.com, facecheck.id, socialcatfish.com, ancestry.com y familysearch.org.
El desarrollo se produce cuando el Departamento de Estado de EE. UU. ha anunciado una recompensa de hasta 10 millones de dólares por información que conduzca a la identificación o el paradero de personas asociadas con un grupo de piratería asociado al IRGC llamado Shahid Hemmat por atacar infraestructura crítica de EE. UU.
“Shahid Hemmat ha sido vinculado con actores cibernéticos maliciosos que apuntan a la industria de defensa estadounidense y a los sectores del transporte internacional”, afirmó. dicho.
“Como componente del IRGC-CEC [Cyber-Electronic Command]Shahid Hemmat está conectado con otras personas y organizaciones asociadas del IRGC-CEC, entre ellas: Mohammad Bagher Shirinkar, Mahdi Lashgarian, Alireza Shafie Nasab y la empresa fachada Emennet Pasargad, Dadeh Afzar Arman (DAA) y Mehrsam Andisheh Saz Nik (MASN). “