Se ha observado que el actor de amenaza de Irán-Nexus conocido como UNC2428 entrega una puerta trasera conocida como Turbio Como parte de una campaña de ingeniería social con temática de trabajo dirigida a Israel en octubre de 2024.
Mandiant propiedad de Google describió UNC2428 como un actor de amenaza seguidor con Irán que se involucra en operaciones relacionadas con el ciber espionaje. Se dice que el conjunto de intrusiones distribuyó el malware a través de una «condena compleja de técnicas de patraña».
«La campaña de ingeniería social de UNC2428 dirigió a las personas mientras se hacía sobrevenir por una oportunidad de quinta del contratista de defensa israelí, Rafael», dijo la compañía en su documentación anual de tendencias M para 2025.
Las personas que expresaron interés fueron redirigidas a un sitio que se hizo sobrevenir por Rafael, desde donde se les pidió que descargaran una útil para ayudar a solicitar el trabajo.
La útil («RafaelConnect.exe») era un instalador llamado Lonefleet que, una vez decidido, presentaba una interfaz gráfica de sucesor (GUI) a la víctima para ingresar su información personal y despachar su currículum.
Una vez presentado, la puerta trasera MurkyTour se lanzó como un proceso de fondo mediante un atleta denominado Pile Leafpile, otorgando a los atacantes ataque persistente a la máquina comprometida.
«Los actores de Irán-Nexus amenazas incorporaron interfaces gráficas de sucesor (GUI) para disfrazar la ejecución e instalación de malware como aplicaciones o software legítimos», dijo Mandiant. «La complemento de una GUI que presenta al sucesor un instalador peculiar y está configurado para imitar la forma y la función del señuelo utilizado puede someter las sospechas de individuos específicos».
Vale la pena mencionar que la campaña se superpone con la actividad que la Dirección Ciberna Franquista de Israel atribuyó a un actor de amenaza iraní llamado Black Shadow.
Evaluado como operando en nombre del Empleo de Inteligencia y Seguridad de Irán (MOI), el conjunto de piratería es conocido por apuntar a una amplia matiz de verticales de la industria en Israel, incluida la institución, el turismo, las comunicaciones, las finanzas, el transporte, la atención médica, el gobierno y la tecnología.
Según Mandiant, UNC2428 es uno de los muchos grupos de actividades de amenazas iraníes que han entrenado sus miras en Israel en 2024. Un conjunto prominente es Cyber Toufan, que se dirigió a los usuarios con sede en Israel con el limpiaparabrisas Pokyblight patentado.
UNC3313 es otro conjunto de amenazas de Irán-Nexus que ha realizado vigilancia y operaciones estratégicas de cosecha de información a través de campañas de phishing de rejón. UNC3313, documentado por primera vez por la compañía en febrero de 2022, se cree que está afiliado a Muddywater.
«El actor de amenazas alojó malware en servicios populares de intercambio de archivos y enlaces integrados internamente de los señuelos de phishing con temas de capacitación y seminarios web», dijo Mandiant. «En una de esas campañas, UNC3313 distribuyó el dosificador de gelatina y la puerta trasera de Bodybox a organizaciones e individuos dirigidos por sus operaciones de phishing».
Los ataques montados por UNC3313 se han inclinado fuertemente en hasta nueve herramientas de monitoreo y dirección remota legítimas (RMM) diferentes, una táctica monopolio del conjunto de agua Muddywater, en un intento por evitar los esfuerzos de detección y proporcionar ataque remoto persistente.
La firma de inteligencia de amenazas incluso dijo que observó en julio de 2024 un supuesto adversario vinculado a Irán que distribuye un CactUspal con nombre en código interno al pasarlo como un instalador para el software de ataque remoto de Palo Detención Networks GlobalProtect.
El Asistente de instalación, al propagación, implementa sigilosamente la puerta trasera .NET que, a su vez, verifica solo una instancia del proceso se ejecuta ayer de que se comunique con un servidor forastero de comando y control (C2).
A pesar del uso de herramientas RMM, incluso se ha observado que los actores de amenaza iraní como UNC1549 toman medidas para incorporar la infraestructura en la abundancia en su artesanía para avalar que sus acciones se combinen con servicios prevalentes en entornos empresariales.
«Por otra parte de técnicas como el tipo de tipograto y la reutilización del dominio, los actores de amenaza han descubierto que meter nodos C2 o cargas aperos en la infraestructura de la abundancia y el uso de dominios nativos de la abundancia reduce el pesquisa que puede aplicarse a sus operaciones», dijo Mandiant.
Cualquier idea del panorama de amenazas iraníes está incompleto sin APT42 (incluso conocido como Charming Kitten), que es conocido por sus elaborados esfuerzos de ingeniería social y construcción de relaciones para cosechar credenciales y entregar malware a medida para la exfiltración de datos.
El actor de amenaza, por mandante, desplegó páginas de inicio de sesión falsas disfrazadas de Google, Microsoft y Yahoo! Como parte de sus campañas de cosecha de credenciales, utilizando los sitios de Google y Dropbox para dirigir los objetivos para fingir las páginas de destino de Google.
En total, la compañía de seguridad cibernética dijo que identificaba a más de 20 familias de malware patentadas, incluidos droppers, descargadores y puertas traseras, utilizadas por actores iraníes en campañas en el Medio Oriente en 2024. Dos de los traseros identificados, Dodgylaffa y Spareprize, han sido empleados por APT34 (AKA Oilrig) en los ataques apuntando a las entidades iraqi.
«A medida que los actores de la amenaza de Irán-Nexus continúan persiguiendo operaciones cibernéticas que se alinean con los intereses del régimen iraní, alterarán sus metodologías para adaptarse al panorama de seguridad coetáneo», dijo Mandiant.
