El actor de amenazas de origen iraní conocido como Charming Kitten ha sido vinculado a una nueva serie de ataques dirigidos a expertos en políticas de Medio Oriente con una nueva puerta trasera llamada ESTRELLA BÁSICA mediante la creación de un portal de seminarios web falso.
Charming Kitten, también llamado APT35, CharmingCypress, Mint Sandstorm, TA453 y Yellow Garuda, tiene un historial de orquestar una amplia gama de campañas de ingeniería social que arrojan una amplia red de objetivos, a menudo señalando a grupos de expertos, ONG y periodistas.
«CharmingCypress a menudo emplea tácticas inusuales de ingeniería social, como involucrar a los objetivos en conversaciones prolongadas por correo electrónico antes de enviar enlaces a contenido malicioso», dijeron los investigadores de Volexity Ankur Saini, Callum Roxan, Charlie Gardner y Damien Cash. dicho.
El mes pasado, Microsoft reveló que el adversario ha atacado a personas de alto perfil que trabajan en asuntos de Medio Oriente para implementar malware como MischiefTut y MediaPl (también conocido como EYEGLASS), que son capaces de recopilar información confidencial de un host comprometido.
El grupo, considerado afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), también ha distribuido otras puertas traseras como PowerLess, BellaCiao, POWERSTAR (también conocido como GorjolEcho) y NokNok durante el año pasado, enfatizando su determinación de continuar su ataque cibernético. , adaptando sus tácticas y métodos a pesar de la exposición pública.
Los ataques de phishing observados entre septiembre y octubre de 2023 involucraron a los operadores de Charming Kitten haciéndose pasar por el Instituto Internacional Rasanah de Estudios Iraníes (IIIS) para iniciar y generar confianza en los objetivos.
Los intentos de phishing también se caracterizan por el uso de cuentas de correo electrónico comprometidas que pertenecen a contactos legítimos y múltiples cuentas de correo electrónico controladas por actores de amenazas, la última de las cuales se denomina suplantación de múltiples personas (MPI).
Las cadenas de ataque suelen emplear archivos RAR que contienen archivos LNK como punto de partida para distribuir malware, y los mensajes instan a los posibles objetivos a unirse a un seminario web falso sobre temas que son de su interés. Se ha observado que una de esas secuencias de infección de varias etapas implementa BASICSTAR y KORKULOADER, un script de descarga de PowerShell.
BASICSTAR, un malware de Visual Basic Script (VBS), es capaz de recopilar información básica del sistema, ejecutar de forma remota comandos transmitidos desde un servidor de comando y control (C2) y descargar y mostrar un archivo PDF señuelo.
Es más, algunos de estos ataques de phishing están diseñados para servir a diferentes puertas traseras según el sistema operativo de la máquina. Mientras que las víctimas de Windows se ven comprometidas con POWERLESS, las víctimas de Apple macOS son el objetivo de una cadena de infección que culmina en NokNok a través de una aplicación VPN funcional que está plagada de malware.
«Este actor de amenazas está muy comprometido a realizar vigilancia sobre sus objetivos para determinar la mejor manera de manipularlos y desplegar malware», dijeron los investigadores. «Además, pocos actores de amenazas han producido consistentemente tantas campañas como CharmingCypress, dedicando operadores humanos para apoyar sus esfuerzos en curso».
La divulgación se produce cuando Recorded Future descubrió que el IRGC apuntaba a países occidentales utilizando una red de empresas contratistas que también se especializan en exportar tecnologías con fines de vigilancia y ofensivos a países como Irak, Siria y Líbano.
La relación entre las organizaciones militares y de inteligencia y los contratistas con sede en Irán toma la forma de varios centros cibernéticos que actúan como «cortafuegos» para ocultar la entidad patrocinadora.
Entre ellos se incluyen Ayandeh Sazan Sepher Aria (sospechoso de estar asociado con Emennet Pasargad), el Instituto de Investigación DSP, Sabrin Kish, Soroush Saman, Mahak Rayan Afraz y la Compañía Parnian de Telecomunicaciones y Electrónica.
«Las empresas contratistas iraníes están establecidas y dirigidas por una red muy unida de personas que, en algunos casos, representan a los contratistas como miembros de la junta directiva», dijo la empresa. dicho. «Los individuos están estrechamente asociados con el IRGC y, en algunos casos, incluso son representantes de entidades sancionadas (como la Fundación Cooperativa del IRGC)».