L’acteur menaçant d’origine iranienne connu sous le nom de Charming Kitten a été associé à une nouvelle série d’attaques visant des experts politiques du Moyen-Orient avec une nouvelle porte dérobée appelée BASICSTAR en créant un faux portail de webinaire.
Charming Kitten, également appelé APT35, CharmingCypress, Mint Sandstorm, TA453 et Yellow Garuda, a l’habitude d’orchestrer un large éventail de campagnes d’ingénierie sociale qui visent un large réseau de ciblage, ciblant souvent des groupes de réflexion, des ONG et des journalistes.
« CharmingCypress utilise souvent des tactiques d’ingénierie sociale inhabituelles, comme engager des cibles dans des conversations prolongées par courrier électronique avant d’envoyer des liens vers du contenu malveillant », ont déclaré les chercheurs de Volexity Ankur Saini, Callum Roxan, Charlie Gardner et Damien Cash. dit.
Le mois dernier, Microsoft a révélé que des personnalités travaillant sur les affaires du Moyen-Orient avaient été ciblées par l’adversaire pour déployer des logiciels malveillants tels que MischiefTut et MediaPl (alias EYEGLASS), capables de collecter des informations sensibles sur un hôte compromis.
Le groupe, considéré comme affilié au Corps des Gardiens de la révolution islamique (CGRI), a également distribué plusieurs autres portes dérobées telles que PowerLess, BellaCiao, POWERSTAR (alias GorjolEcho) et NokNok au cours de l’année écoulée, soulignant sa détermination à poursuivre sa cyberattaque. , adaptant ses tactiques et ses méthodes malgré l’exposition du public.
Les attaques de phishing observées entre septembre et octobre 2023 impliquaient les opérateurs de Charming Kitten se faisant passer pour l’Institut international Rasanah d’études iraniennes (IIIS) pour initier et établir la confiance avec les cibles.
Les tentatives de phishing se caractérisent également par l’utilisation de comptes de messagerie compromis appartenant à des contacts légitimes et de plusieurs comptes de messagerie contrôlés par les acteurs de la menace, ce dernier étant appelé Multi-Persona Usurage (MPI).
Les chaînes d’attaque utilisent généralement des archives RAR contenant des fichiers LNK comme point de départ pour distribuer des logiciels malveillants, les messages invitant les cibles potentielles à rejoindre un faux webinaire sur des sujets qui les intéressent. Une telle séquence d’infection en plusieurs étapes a été observée pour déployer BASICSTAR et KORKULOADER, un script de téléchargement PowerShell.
BASICSTAR, un malware Visual Basic Script (VBS), est capable de collecter des informations de base sur le système, d’exécuter à distance des commandes relayées depuis un serveur de commande et de contrôle (C2), ainsi que de télécharger et d’afficher un fichier PDF leurre.
De plus, certaines de ces attaques de phishing sont conçues pour servir différentes portes dérobées en fonction du système d’exploitation de la machine. Alors que les victimes Windows sont compromises avec POWERLESS, les victimes Apple macOS sont ciblées par une chaîne d’infection culminant à NokNok via une application VPN fonctionnelle truffée de logiciels malveillants.
« Cet acteur malveillant est très déterminé à surveiller ses cibles afin de déterminer la meilleure façon de les manipuler et de déployer des logiciels malveillants », ont indiqué les chercheurs. « De plus, peu d’autres acteurs de la menace ont constamment lancé autant de campagnes que CharmingCypress, consacrant des opérateurs humains pour soutenir leurs efforts continus. »
Cette divulgation intervient alors que Recorded Future a découvert que le CGRI ciblait les pays occidentaux en utilisant un réseau de sociétés sous-traitantes également spécialisées dans l’exportation de technologies à des fins de surveillance et d’offensive vers des pays comme l’Irak, la Syrie et le Liban.
Les relations entre les services de renseignement et les organisations militaires et les sous-traitants basés en Iran prennent la forme de divers cybercentres qui agissent comme des « pare-feu » pour dissimuler l’entité qui parraine.
Il s’agit notamment d’Ayandeh Sazan Sepher Aria (soupçonné d’être associé à Emennet Pasargad), du DSP Research Institute, de Sabrin Kish, de Soroush Saman, de Mahak Rayan Afraz et de la Parnian Telecommunication and Electronic Company.
« Les entreprises contractantes iraniennes sont créées et gérées par un réseau très uni de personnalités qui, dans certains cas, représentent les entrepreneurs en tant que membres du conseil d’administration », a déclaré l’entreprise. dit. « Ces individus sont étroitement associés au CGRI et, dans certains cas, sont même des représentants d’entités sanctionnées (telles que la Fondation coopérative du CGRI). »