Personas de alto perfil que trabajan en asuntos de Medio Oriente en universidades y organizaciones de investigación en Bélgica, Francia, Gaza, Israel, el Reino Unido y Estados Unidos han sido atacadas por un grupo de ciberespionaje iraní llamado Tormenta de arena mental desde noviembre de 2023.
El actor de amenazas “utilizó señuelos de phishing personalizados en un intento de diseñar socialmente objetivos para que descargaran archivos maliciosos”, dijo el equipo de Microsoft Threat Intelligence. dicho en un análisis del miércoles, describiéndolo como un “subgrupo técnica y operativamente maduro de Mind Sandstorm”.
Los ataques, en casos selectos, implican el uso de una puerta trasera no documentada previamente denominada MediaPl, lo que indica esfuerzos continuos por parte de los actores de amenazas iraníes para perfeccionar su estrategia posterior a la intrusión.
Mint Sandstorm, también conocido como APT35, Charming Kitten, TA453 y Yellow Garuda, es conocido por sus hábiles campañas de ingeniería social, incluso recurriendo a cuentas legítimas pero comprometidas para enviar correos electrónicos de phishing personalizados a posibles objetivos. Se considera que está afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC).
El subgrupo, según Redmond, se dedica a la ingeniería social que requiere un uso intensivo de recursos para seleccionar a periodistas, investigadores, profesores y otras personas con conocimientos sobre cuestiones políticas y de seguridad de interés para Teherán.
El último conjunto de intrusiones se caracteriza por el uso de señuelos relacionados con la guerra entre Israel y Hamas, el envío de correos electrónicos inocuos disfrazados de periodistas y otras personas de alto perfil para establecer una relación con los objetivos y establecer un nivel de confianza antes de intentar enviar malware a objetivos.
Microsoft dijo que es probable que la campaña sea un esfuerzo realizado por el actor de amenazas del estado-nación para recopilar perspectivas sobre eventos relacionados con la guerra.
El uso de cuentas violadas que pertenecen a las personas que buscaban suplantar para enviar mensajes de correo electrónico es una nueva táctica de Mind Sandstorm que no se había visto antes, al igual que el uso del comando curl para conectarse al comando y control (C2). infraestructura.
Si los objetivos interactúan con el actor de la amenaza, se les envía un correo electrónico de seguimiento que contiene un enlace malicioso que apunta a un archivo RAR que, cuando se abre, conduce a la recuperación de scripts de Visual Basic del servidor C2 para persistir dentro del entornos de los objetivos.
Las cadenas de ataques allanaron aún más el camino para implantes personalizados como MischiefTut o MediaPl, el primero de los cuales fue revelado por primera vez por Microsoft en octubre de 2023.
Implementado en PowerShell, MischiefTut es una puerta trasera básica que puede ejecutar comandos de reconocimiento, escribir resultados en un archivo de texto y descargar herramientas adicionales en un sistema comprometido. El primer uso registrado del malware se remonta a finales de 2022.
MediaPl, por otro lado, se hace pasar por Windows Media Player y está diseñado para transmitir comunicaciones cifradas a su servidor C2 y ejecutar comandos que ha recibido del servidor.
“Mint Sandstorm continúa mejorando y modificando las herramientas utilizadas en los entornos de los objetivos, actividad que podría ayudar al grupo a persistir en un entorno comprometido y evadir mejor la detección”, dijo Microsoft.
“La capacidad de obtener y mantener acceso remoto al sistema de un objetivo puede permitir a Mint Sandstorm realizar una variedad de actividades que pueden afectar negativamente la confidencialidad de un sistema”.
La revelación se produce cuando el periódico holandés De Volkskrant reveló a principios de este mes que Erik van Sabbenun ingeniero holandés reclutado por los servicios de inteligencia de Israel y Estados Unidos, pudo haber utilizado una bomba de agua para desplegar un variante temprana del ahora infame malware Stuxnet en una instalación nuclear iraní en algún momento de 2007.