El actor de amenazas conocido como Diplomacia de puerta trasera<\/strong> se ha relacionado con una nueva ola de ataques contra entidades gubernamentales iran\u00edes entre julio y fines de diciembre de 2022.<\/p>\n Palo Alto Networks Unit 42, que est\u00e1 rastreando la actividad bajo su tema de constelaciones<\/a> apodo Tauro juguet\u00f3n<\/strong>dijo que observ\u00f3 los dominios gubernamentales que intentaban conectarse a la infraestructura de malware previamente identificada como asociada con el adversario.<\/p>\n Tambi\u00e9n conocido por los nombres APT15, KeChang, NICKEL y Vixen Panda, el grupo chino APT tiene un historial de campa\u00f1as de ciberespionaje dirigidas a entidades gubernamentales y diplom\u00e1ticas en Am\u00e9rica del Norte, Am\u00e9rica del Sur, \u00c1frica y Medio Oriente al menos desde 2010.<\/p>\n La firma eslovaca de ciberseguridad ESET, en junio de 2021, desempac\u00f3 las intrusiones montadas por equipos de pirater\u00eda contra entidades diplom\u00e1ticas y compa\u00f1\u00edas de telecomunicaciones en \u00c1frica y Medio Oriente utilizando un implante personalizado conocido como Turian.<\/p>\n Luego, en diciembre de 2021, Microsoft anunci\u00f3 la incautaci\u00f3n de 42 dominios operados por el grupo en sus ataques dirigidos a 29 pa\u00edses, al tiempo que se\u00f1al\u00f3 el uso de exploits contra sistemas sin parches para comprometer aplicaciones web orientadas a Internet como Microsoft Exchange y SharePoint.<\/p>\n El actor de amenazas se atribuy\u00f3 m\u00e1s recientemente a un ataque a una empresa de telecomunicaciones no identificada en el Medio Oriente utilizando Quarian, un predecesor de Turian que permite un punto de acceso remoto a las redes espec\u00edficas.<\/p>\n Turian “sigue en desarrollo activo y evaluamos que sea utilizado exclusivamente por actores de Playful Taurus”, Unidad 42 dicho<\/a> en un informe compartido con The Hacker News, y agreg\u00f3 que descubri\u00f3 nuevas variantes de la puerta trasera utilizada en los ataques dirigidos a Ir\u00e1n.<\/p>\n La compa\u00f1\u00eda de ciberseguridad se\u00f1al\u00f3 adem\u00e1s que observ\u00f3 a cuatro organizaciones iran\u00edes diferentes, incluido el Ministerio de Relaciones Exteriores y la Organizaci\u00f3n de Recursos Naturales, que se comunicaban con un servidor de comando y control (C2) conocido atribuido al grupo.<\/p>\n \u201cLa naturaleza diaria sostenida de estas conexiones a la infraestructura controlada por Playful Taurus sugiere un probable compromiso de estas redes\u201d, dijo.<\/p>\n Las nuevas versiones de la puerta trasera de Turian tienen ofuscaci\u00f3n adicional, as\u00ed como un algoritmo de descifrado actualizado que se usa para extraer los servidores C2. Sin embargo, el malware en s\u00ed mismo es gen\u00e9rico, ya que ofrece funciones b\u00e1sicas para actualizar el servidor C2 para conectarse, ejecutar comandos y generar shells inversos.<\/p>\n Se dice que el inter\u00e9s de BackdoorDiplomacy en apuntar a Ir\u00e1n tiene extensiones geopol\u00edticas, ya que se presenta en el contexto de un estudio integral de 25 a\u00f1os. acuerdo de cooperaci\u00f3n<\/a> firmado entre China e Ir\u00e1n para fomentar la cooperaci\u00f3n econ\u00f3mica, militar y de seguridad.<\/p>\n “Playful Taurus contin\u00faa evolucionando sus t\u00e1cticas y sus herramientas”, dijeron los investigadores. “Actualizaciones recientes a la puerta trasera de Turian y la nueva infraestructura C2 sugieren que estos actores contin\u00faan teniendo \u00e9xito durante sus campa\u00f1as de espionaje cibern\u00e9tico”.<\/p>\n <\/p>\n