El actor de amenazas de origen iran\u00ed conocido como Charming Kitten ha sido vinculado a una nueva serie de ataques dirigidos a expertos en pol\u00edticas de Medio Oriente con una nueva puerta trasera llamada ESTRELLA B\u00c1SICA<\/strong> mediante la creaci\u00f3n de un portal de seminarios web falso.<\/p>\n Charming Kitten, tambi\u00e9n llamado APT35, CharmingCypress, Mint Sandstorm, TA453 y Yellow Garuda, tiene un historial de orquestar una amplia gama de campa\u00f1as de ingenier\u00eda social que arrojan una amplia red de objetivos, a menudo se\u00f1alando a grupos de expertos, ONG y periodistas.<\/p>\n “CharmingCypress a menudo emplea t\u00e1cticas inusuales de ingenier\u00eda social, como involucrar a los objetivos en conversaciones prolongadas por correo electr\u00f3nico antes de enviar enlaces a contenido malicioso”, dijeron los investigadores de Volexity Ankur Saini, Callum Roxan, Charlie Gardner y Damien Cash. dicho<\/a>.<\/p>\n El mes pasado, Microsoft revel\u00f3 que el adversario ha atacado a personas de alto perfil que trabajan en asuntos de Medio Oriente para implementar malware como MischiefTut y MediaPl (tambi\u00e9n conocido como EYEGLASS), que son capaces de recopilar informaci\u00f3n confidencial de un host comprometido.<\/p>\n El grupo, considerado afiliado al Cuerpo de la Guardia Revolucionaria Isl\u00e1mica de Ir\u00e1n (CGRI), tambi\u00e9n ha distribuido otras puertas traseras como PowerLess, BellaCiao, POWERSTAR (tambi\u00e9n conocido como GorjolEcho) y NokNok durante el a\u00f1o pasado, enfatizando su determinaci\u00f3n de continuar su ataque cibern\u00e9tico. , adaptando sus t\u00e1cticas y m\u00e9todos a pesar de la exposici\u00f3n p\u00fablica.<\/p>\n Los ataques de phishing observados entre septiembre y octubre de 2023 involucraron a los operadores de Charming Kitten haci\u00e9ndose pasar por el Instituto Internacional Rasanah de Estudios Iran\u00edes (IIIS) para iniciar y generar confianza en los objetivos.<\/p>\n Los intentos de phishing tambi\u00e9n se caracterizan por el uso de cuentas de correo electr\u00f3nico comprometidas que pertenecen a contactos leg\u00edtimos y m\u00faltiples cuentas de correo electr\u00f3nico controladas por actores de amenazas, la \u00faltima de las cuales se denomina suplantaci\u00f3n de m\u00faltiples personas (MPI).<\/p>\n Las cadenas de ataque suelen emplear archivos RAR que contienen archivos LNK como punto de partida para distribuir malware, y los mensajes instan a los posibles objetivos a unirse a un seminario web falso sobre temas que son de su inter\u00e9s. Se ha observado que una de esas secuencias de infecci\u00f3n de varias etapas implementa BASICSTAR y KORKULOADER, un script de descarga de PowerShell.<\/p>\n BASICSTAR, un malware de Visual Basic Script (VBS), es capaz de recopilar informaci\u00f3n b\u00e1sica del sistema, ejecutar de forma remota comandos transmitidos desde un servidor de comando y control (C2) y descargar y mostrar un archivo PDF se\u00f1uelo.<\/p>\n Es m\u00e1s, algunos de estos ataques de phishing est\u00e1n dise\u00f1ados para servir a diferentes puertas traseras seg\u00fan el sistema operativo de la m\u00e1quina. Mientras que las v\u00edctimas de Windows se ven comprometidas con POWERLESS, las v\u00edctimas de Apple macOS son el objetivo de una cadena de infecci\u00f3n que culmina en NokNok a trav\u00e9s de una aplicaci\u00f3n VPN funcional que est\u00e1 plagada de malware.<\/p>\n “Este actor de amenazas est\u00e1 muy comprometido a realizar vigilancia sobre sus objetivos para determinar la mejor manera de manipularlos y desplegar malware”, dijeron los investigadores. “Adem\u00e1s, pocos actores de amenazas han producido consistentemente tantas campa\u00f1as como CharmingCypress, dedicando operadores humanos para apoyar sus esfuerzos en curso”.<\/p>\n La divulgaci\u00f3n se produce cuando Recorded Future descubri\u00f3 que el IRGC apuntaba a pa\u00edses occidentales utilizando una red de empresas contratistas que tambi\u00e9n se especializan en exportar tecnolog\u00edas con fines de vigilancia y ofensivos a pa\u00edses como Irak, Siria y L\u00edbano.<\/p>\n La relaci\u00f3n entre las organizaciones militares y de inteligencia y los contratistas con sede en Ir\u00e1n toma la forma de varios centros cibern\u00e9ticos que act\u00faan como “cortafuegos” para ocultar la entidad patrocinadora.<\/p>\n Entre ellos se incluyen Ayandeh Sazan Sepher Aria (sospechoso de estar asociado con Emennet Pasargad), el Instituto de Investigaci\u00f3n DSP, Sabrin Kish, Soroush Saman, Mahak Rayan Afraz y la Compa\u00f1\u00eda Parnian de Telecomunicaciones y Electr\u00f3nica.<\/p>\n “Las empresas contratistas iran\u00edes est\u00e1n establecidas y dirigidas por una red muy unida de personas que, en algunos casos, representan a los contratistas como miembros de la junta directiva”, dijo la empresa. dicho<\/a>. “Los individuos est\u00e1n estrechamente asociados con el IRGC y, en algunos casos, incluso son representantes de entidades sancionadas (como la Fundaci\u00f3n Cooperativa del IRGC)”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Hackers-iranies-atacan-a-expertos-en-politicas-de-Medio-Oriente.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n