Charming Kitten, el actor del estado-nación afiliado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán, ha sido atribuido a una campaña de phishing personalizado que ofrece una versión actualizada de una puerta trasera de PowerShell con todas las funciones llamada POWERSTAR.
«Se han mejorado las medidas de seguridad operativa colocadas en el malware para que sea más difícil de analizar y recopilar inteligencia», los investigadores de Volexity, Ankur Saini y Charlie Gardner. dicho en un informe publicado esta semana.
El actor de amenazas es un experto cuando se trata de emplear la ingeniería social para atraer a los objetivos, a menudo creando personajes falsos personalizados en las plataformas de redes sociales y participando en conversaciones sostenidas para establecer una buena relación antes de enviar un enlace malicioso. También se rastrea con los nombres APT35, Cobalt Illusion, Mint Sandstorm (anteriormente Phosphorus) y Yellow Garuda.
Las intrusiones recientes orquestadas por Charming Kitten han hecho uso de otros implantes como PowerLess y BellaCiao, lo que sugiere que el grupo está utilizando una variedad de herramientas de espionaje a su disposición para lograr sus objetivos estratégicos.
POWERSTAR es otra adición al arsenal del grupo. También llamada CharmPower, la puerta trasera fue documentada públicamente por primera vez por Check Point en enero de 2022, descubriendo su uso en relación con ataques que utilizan como armas las vulnerabilidades de Log4Shell en aplicaciones Java expuestas públicamente.
Desde entonces, se ha utilizado en al menos otras dos campañas, según lo documentado por PwC en julio de 2022 y Microsoft en abril de 2023.
Volexity, que detectó una variante rudimentaria de POWERSTAR en 2021 distribuida por una macro maliciosa incrustada en un archivo DOCM, dijo que la ola de ataques de mayo de 2023 aprovecha un archivo LNK dentro de un archivo RAR protegido con contraseña para descargar la puerta trasera de Backblaze, al tiempo que toma medidas para dificultar el análisis.
«Con POWERSTAR, Charming Kitten buscó limitar el riesgo de exponer su malware al análisis y la detección al entregar el método de descifrado por separado del código inicial y nunca escribirlo en el disco», dijeron los investigadores.
«Esto tiene la ventaja adicional de actuar como una barrera operativa, ya que desacoplar el método de descifrado de su servidor de comando y control (C2) evita el descifrado exitoso en el futuro de la carga útil POWERSTAR correspondiente».
La puerta trasera viene con un amplio conjunto de características que le permiten ejecutar de forma remota comandos de PowerShell y C#, configurar la persistencia, recopilar información del sistema y descargar y ejecutar más módulos para enumerar procesos en ejecución, capturar capturas de pantalla, buscar archivos que coincidan con extensiones específicas y monitorear si los componentes de persistencia aún están intactos.
También se mejoró y amplió desde la versión anterior el módulo de limpieza que está diseñado para borrar todos los rastros de la huella del malware, así como para eliminar las claves de registro relacionadas con la persistencia. Estas actualizaciones apuntan a los continuos esfuerzos de Charming Kitten para refinar sus técnicas y evadir la detección.
Volexity dijo que también detectó una variante diferente de POWERSTAR que intenta recuperar un servidor C2 codificado descifrando un archivo almacenado en el sistema de archivos interplanetario descentralizado (IPFS), lo que indica un intento de hacer que su infraestructura de ataque sea más resistente.
El desarrollo coincide con el uso de MuddyWater (también conocido como Static Kitten) de un marco de comando y control (C2) previamente no documentado llamado PhonyC2 para entregar carga útil maliciosa a hosts comprometidos.
«El libro de jugadas de phishing general utilizado por Charming Kitten y el propósito general de POWERSTAR siguen siendo consistentes», dijeron los investigadores. «Las referencias a los mecanismos de persistencia y las cargas útiles ejecutables dentro del módulo de limpieza POWERSTAR sugieren fuertemente un conjunto más amplio de herramientas utilizadas por Charming Kitten para realizar espionaje habilitado por malware».