{"id":831635,"date":"2023-06-30T16:22:44","date_gmt":"2023-06-30T16:22:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-iranies-charming-kitten-utilizan-la-puerta-trasera-powerstar-en-ataques-de-espionaje-dirigidos\/"},"modified":"2023-06-30T16:22:47","modified_gmt":"2023-06-30T16:22:47","slug":"los-piratas-informaticos-iranies-charming-kitten-utilizan-la-puerta-trasera-powerstar-en-ataques-de-espionaje-dirigidos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-iranies-charming-kitten-utilizan-la-puerta-trasera-powerstar-en-ataques-de-espionaje-dirigidos\/","title":{"rendered":"Los piratas inform\u00e1ticos iran\u00edes Charming Kitten utilizan la puerta trasera POWERSTAR en ataques de espionaje dirigidos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">30 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Las noticias del hacker<\/span><\/span><span class=\"p-tags\">Ciberespionaje\/Malware <\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Charming Kitten, el actor del estado-naci\u00f3n afiliado al Cuerpo de la Guardia Revolucionaria Isl\u00e1mica (IRGC) de Ir\u00e1n, ha sido atribuido a una campa\u00f1a de phishing personalizado que ofrece una versi\u00f3n actualizada de una puerta trasera de PowerShell con todas las funciones llamada POWERSTAR.<\/p>\n<p>&#8220;Se han mejorado las medidas de seguridad operativa colocadas en el malware para que sea m\u00e1s dif\u00edcil de analizar y recopilar inteligencia&#8221;, los investigadores de Volexity, Ankur Saini y Charlie Gardner. <a rel=\"nofollow noopener\" href=\"https:\/\/www.volexity.com\/blog\/2023\/06\/28\/charming-kitten-updates-powerstar-with-an-interplanetary-twist\/\" target=\"_blank\">dicho<\/a> en un informe publicado esta semana.<\/p>\n<p>El actor de amenazas es un experto cuando se trata de emplear la ingenier\u00eda social para atraer a los objetivos, a menudo creando personajes falsos personalizados en las plataformas de redes sociales y participando en conversaciones sostenidas para establecer una buena relaci\u00f3n antes de enviar un enlace malicioso.  Tambi\u00e9n se rastrea con los nombres APT35, Cobalt Illusion, Mint Sandstorm (anteriormente Phosphorus) y Yellow Garuda.<\/p>\n<p>Las intrusiones recientes orquestadas por Charming Kitten han hecho uso de otros implantes como PowerLess y BellaCiao, lo que sugiere que el grupo est\u00e1 utilizando una variedad de herramientas de espionaje a su disposici\u00f3n para lograr sus objetivos estrat\u00e9gicos.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1685807016_716_La-FTC-condena-a-Amazon-con-una-multa-de-308.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>POWERSTAR es otra adici\u00f3n al arsenal del grupo.  Tambi\u00e9n llamada CharmPower, la puerta trasera fue documentada p\u00fablicamente por primera vez por Check Point en enero de 2022, descubriendo su uso en relaci\u00f3n con ataques que utilizan como armas las vulnerabilidades de Log4Shell en aplicaciones Java expuestas p\u00fablicamente.<\/p>\n<p>Desde entonces, se ha utilizado en al menos otras dos campa\u00f1as, seg\u00fan lo documentado por PwC en julio de 2022 y Microsoft en abril de 2023.<\/p>\n<p>Volexity, que detect\u00f3 una variante rudimentaria de POWERSTAR en 2021 distribuida por una macro maliciosa incrustada en un archivo DOCM, dijo que la ola de ataques de mayo de 2023 aprovecha un archivo LNK dentro de un archivo RAR protegido con contrase\u00f1a para descargar la puerta trasera de Backblaze, al tiempo que toma medidas para dificultar el an\u00e1lisis.<\/p>\n<p>&#8220;Con POWERSTAR, Charming Kitten busc\u00f3 limitar el riesgo de exponer su malware al an\u00e1lisis y la detecci\u00f3n al entregar el m\u00e9todo de descifrado por separado del c\u00f3digo inicial y nunca escribirlo en el disco&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Esto tiene la ventaja adicional de actuar como una barrera operativa, ya que desacoplar el m\u00e9todo de descifrado de su servidor de comando y control (C2) evita el descifrado exitoso en el futuro de la carga \u00fatil POWERSTAR correspondiente&#8221;.<\/p>\n<p>La puerta trasera viene con un amplio conjunto de caracter\u00edsticas que le permiten ejecutar de forma remota comandos de PowerShell y C#, configurar la persistencia, recopilar informaci\u00f3n del sistema y descargar y ejecutar m\u00e1s m\u00f3dulos para enumerar procesos en ejecuci\u00f3n, capturar capturas de pantalla, buscar archivos que coincidan con extensiones espec\u00edficas y monitorear si los componentes de persistencia a\u00fan est\u00e1n intactos.<\/p>\n<p>Tambi\u00e9n se mejor\u00f3 y ampli\u00f3 desde la versi\u00f3n anterior el m\u00f3dulo de limpieza que est\u00e1 dise\u00f1ado para borrar todos los rastros de la huella del malware, as\u00ed como para eliminar las claves de registro relacionadas con la persistencia.  Estas actualizaciones apuntan a los continuos esfuerzos de Charming Kitten para refinar sus t\u00e9cnicas y evadir la detecci\u00f3n.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/www.memcyco.com\/home\/library\/the-untold-cost-of-brand-impersonation-ebook\/?utm_source=thn&amp;utm_medium=referral&amp;utm_campaign=ebook-campaign\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/La-nueva-campana-en-curso-apunta-al-ecosistema-npm-con.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Volexity dijo que tambi\u00e9n detect\u00f3 una variante diferente de POWERSTAR que intenta recuperar un servidor C2 codificado descifrando un archivo almacenado en el sistema de archivos interplanetario descentralizado (IPFS), lo que indica un intento de hacer que su infraestructura de ataque sea m\u00e1s resistente.<\/p>\n<p>El desarrollo coincide con el uso de MuddyWater (tambi\u00e9n conocido como Static Kitten) de un marco de comando y control (C2) previamente no documentado llamado PhonyC2 para entregar carga \u00fatil maliciosa a hosts comprometidos.<\/p>\n<p>&#8220;El libro de jugadas de phishing general utilizado por Charming Kitten y el prop\u00f3sito general de POWERSTAR siguen siendo consistentes&#8221;, dijeron los investigadores.  &#8220;Las referencias a los mecanismos de persistencia y las cargas \u00fatiles ejecutables dentro del m\u00f3dulo de limpieza POWERSTAR sugieren fuertemente un conjunto m\u00e1s amplio de herramientas utilizadas por Charming Kitten para realizar espionaje habilitado por malware&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/iranian-hackers-charming-kitten-utilize.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80230 de junio de 2023\ue804Las noticias del hackerCiberespionaje\/Malware Charming Kitten, el actor del estado-naci\u00f3n afiliado al Cuerpo de<\/p>\n","protected":false},"author":1,"featured_media":831636,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,158980,4664,34682,10315,4662,6214,10364,139964,4668,4667,36,4654,4658,4659,4653,4655,6213,171858,4663,1732,4666,4665,7157,10365,4660],"class_list":["post-831635","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-charming","tag-como-hackear","tag-dirigidos","tag-espionaje","tag-filtracion-de-datos","tag-informaticos","tag-iranies","tag-kitten","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-piratas","tag-powerstar","tag-programa-malicioso-ransomware","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-trasera","tag-utilizan","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/831635","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=831635"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/831635\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/831636"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=831635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=831635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=831635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}