Una nueva investigación ha vinculado las operaciones de un grupo hacktivista políticamente motivado conocido como Moses Staff con otro actor de amenazas naciente llamado hacha de abraham que surgió en noviembre de 2022.
Esto se basa en «varios puntos en común entre la iconografía, la videografía y los sitios de fugas utilizados por los grupos, lo que sugiere que probablemente sean operados por la misma entidad», la Unidad Contra Amenazas de Secureworks (CTU) dicho en un informe compartido con The Hacker News.
Moses Staff, rastreado por la firma de ciberseguridad bajo el nombre de Retoño de cobaltohizo su primera aparición en el panorama de amenazas en septiembre de 2021 con el objetivo de apuntar principalmente a organizaciones israelíes.
Se cree que el grupo geopolítico está patrocinado por el gobierno iraní y desde entonces ha estado vinculado a una serie de ataques de espionaje y sabotaje que utilizan herramientas como StrifeWater RAT y utilidades de código abierto como discocryptor para recopilar información confidencial y bloquear los datos de las víctimas en los hosts infectados.
También se sabe que la tripulación mantiene un sitio de fugas que se utiliza para distribuir datos robados de sus víctimas y difundir sus mensajes, que incluyen «exponer los crímenes de los sionistas en la Palestina ocupada».
Ahora, de acuerdo con el análisis de Secureworks, «el personaje del Hacha de Abraham se está utilizando en conjunto para atacar a los ministerios del gobierno en Arabia Saudita» y que «esto probablemente sea una respuesta al papel de liderazgo de Arabia Saudita en mejorar las relaciones entre Israel y las naciones árabes».
Por su parte, Abraham’s Axe afirma estar operando en nombre de Hezbollah Ummah a pesar de que no hay evidencia que lo respalde. Hezboláque significa «Partido de Alá» en árabe, es un partido político islamista chií libanés y un grupo militante respaldado por Irán.
Las sorprendentes superposiciones en el modus operandi aumentan aún más la posibilidad de que los operadores detrás de Abraham’s Axe probablemente estén aprovechando el mismo malware personalizado que actúa como un limpiador criptográfico para cifrar datos sin ofrecer un medio para recuperarlos.
Además, ambos actores están unidos en sus motivaciones en que operan sin incentivos económicos, tomando las intrusiones un tono más disruptivo. Las conexiones entre los dos grupos también se evidencian en el hecho de que los sitios de filtración basados en WordPress estaban alojados en el mismo subred en las primeras etapas.
“Irán tiene un historial de uso de grupos proxy y personas fabricadas para apuntar a adversarios regionales e internacionales”, dijo Rafe Pilling, investigador principal de Secureworks, en un comunicado.
“Durante los últimos dos años, ha surgido un número cada vez mayor de personajes de grupos criminales y hacktivistas para apuntar a los enemigos percibidos de Irán al tiempo que brindan una negación plausible al gobierno de Irán con respecto a la asociación o responsabilidad de estos ataques. Es probable que esta tendencia continúe”.