El actor de amenazas conocido como Diplomacia de puerta trasera se ha relacionado con una nueva ola de ataques contra entidades gubernamentales iraníes entre julio y fines de diciembre de 2022.
Palo Alto Networks Unit 42, que está rastreando la actividad bajo su tema de constelaciones apodo Tauro juguetóndijo que observó los dominios gubernamentales que intentaban conectarse a la infraestructura de malware previamente identificada como asociada con el adversario.
También conocido por los nombres APT15, KeChang, NICKEL y Vixen Panda, el grupo chino APT tiene un historial de campañas de ciberespionaje dirigidas a entidades gubernamentales y diplomáticas en América del Norte, América del Sur, África y Medio Oriente al menos desde 2010.
La firma eslovaca de ciberseguridad ESET, en junio de 2021, desempacó las intrusiones montadas por equipos de piratería contra entidades diplomáticas y compañías de telecomunicaciones en África y Medio Oriente utilizando un implante personalizado conocido como Turian.
Luego, en diciembre de 2021, Microsoft anunció la incautación de 42 dominios operados por el grupo en sus ataques dirigidos a 29 países, al tiempo que señaló el uso de exploits contra sistemas sin parches para comprometer aplicaciones web orientadas a Internet como Microsoft Exchange y SharePoint.
El actor de amenazas se atribuyó más recientemente a un ataque a una empresa de telecomunicaciones no identificada en el Medio Oriente utilizando Quarian, un predecesor de Turian que permite un punto de acceso remoto a las redes específicas.
Turian «sigue en desarrollo activo y evaluamos que sea utilizado exclusivamente por actores de Playful Taurus», Unidad 42 dicho en un informe compartido con The Hacker News, y agregó que descubrió nuevas variantes de la puerta trasera utilizada en los ataques dirigidos a Irán.
La compañía de ciberseguridad señaló además que observó a cuatro organizaciones iraníes diferentes, incluido el Ministerio de Relaciones Exteriores y la Organización de Recursos Naturales, que se comunicaban con un servidor de comando y control (C2) conocido atribuido al grupo.
“La naturaleza diaria sostenida de estas conexiones a la infraestructura controlada por Playful Taurus sugiere un probable compromiso de estas redes”, dijo.
Las nuevas versiones de la puerta trasera de Turian tienen ofuscación adicional, así como un algoritmo de descifrado actualizado que se usa para extraer los servidores C2. Sin embargo, el malware en sí mismo es genérico, ya que ofrece funciones básicas para actualizar el servidor C2 para conectarse, ejecutar comandos y generar shells inversos.
Se dice que el interés de BackdoorDiplomacy en apuntar a Irán tiene extensiones geopolíticas, ya que se presenta en el contexto de un estudio integral de 25 años. acuerdo de cooperación firmado entre China e Irán para fomentar la cooperación económica, militar y de seguridad.
«Playful Taurus continúa evolucionando sus tácticas y sus herramientas», dijeron los investigadores. «Actualizaciones recientes a la puerta trasera de Turian y la nueva infraestructura C2 sugieren que estos actores continúan teniendo éxito durante sus campañas de espionaje cibernético».