Un asociación de piratería patrocinado por el estado iraní asociado con el Cuerpo de la Cuidado Revolucionaria Islámica (IRGC) se ha relacionado con una campaña de phishing de aguijada dirigida a periodistas, expertos en seguridad cibernética de parada perfil y profesores de informática en Israel.
«En algunas de esas campañas, los atacantes se enfrentaron a los profesionales de la tecnología israelí y la seguridad cibernética que se hicieron tener lugar por asistentes ficticios a ejecutivos o investigadores de tecnología a través de correos electrónicos y mensajes de WhatsApp», dijo Check Point en un noticia publicado el miércoles. «Los actores de amenaza dirigieron a las víctimas que se dedicaron a ellos a falsificar páginas de inicio de sesión de Gmail o Google cumplen con las invitaciones».
La compañía de seguridad cibernética atribuyó la actividad a un asociación de amenazas que rastrea como Manticore educado, que se superpone con APT35 (y su subgrupo APT42), Calanqu, gatito encantador, Charmingcypress, Cobalt Illusion, ITG18, Magic Hound, Mint Sandstorm (antiguo fósforo), Newscaster, Ta453 y Yellow Garuda.
El asociación reformista de amenaza persistente (APT) tiene una larga historia de orquestar ataques de ingeniería social utilizando señuelos elaborados, que se acercan a objetivos en varias plataformas como Facebook y LinkedIn utilizando personajes ficticios para engañar a las víctimas para implementar malware en sus sistemas.
Check Point dijo que observó una nueva ola de ataques a partir de mediados de junio de 2025 luego del estallido de la Pelea de Irán-Israel que atacó a las personas israelíes que usan señuelos falsos de reuniones, ya sea a través de correos electrónicos o mensajes de WhatsApp adaptados a los objetivos. Se cree que los mensajes están diseñados utilizando herramientas de inteligencia sintético (IA) oportuno al diseño estructurado y la marcha de cualquier error gramatical.
Uno de los mensajes de WhatsApp marcados por la compañía aprovechó las tensiones geopolíticas actuales entre los dos países para convencer a la víctima para unirse a una reunión, alegando que necesitaban su subsidio inmediata en un sistema de detección de amenazas basado en AI para contrarrestar un aumento en los ataques cibernéticos dirigidos a Israel desde el 12 de junio.
Los mensajes iniciales, como los observados en las encantadoras campañas de gatitos encantadoras anteriores, carecen de artefactos maliciosos y están diseñados principalmente para cobrar la confianza de sus objetivos. Una vez que los actores de amenaza construyen una relación en el transcurso de la conversación, el ataque pasa a la subsiguiente etapa al compartir enlaces que dirigen a las víctimas a falsificar páginas de destino capaces de recoger sus credenciales de cuentas de Google.
«Antiguamente de remitir el enlace de phishing, los actores de amenaza piden a la víctima su dirección de correo electrónico», dijo Check Point. «Esta dirección se llena previamente en la página de phishing de credencial para aumentar la credibilidad e imitar la apariencia de un flujo cierto de autenticación de Google».
«El kit de phishing personalizado (…) imita de cerca las páginas de inicio de sesión familiares, como las de Google, utilizando tecnologías web modernas, como aplicaciones de página única basadas en React (SPA) y enrutamiento dinámico de páginas. Igualmente utiliza conexiones WebSocket en tiempo actual para remitir datos robados, y el diseño le permite ocultar su código de exploración adicional».
La página falsa es parte de un kit de phishing personalizado que no solo puede capturar sus credenciales, sino igualmente los códigos de autenticación de dos factores (2FA), facilitando efectivamente los ataques de retransmisión 2FA. El kit igualmente incorpora un keylogger pasivo para registrar todas las pulsaciones de teclas ingresadas por la víctima y exfiltrarlas en caso de que el legatario abandone el proceso a parte de camino.
Algunos de los esfuerzos de ingeniería social igualmente han involucrado el uso de los dominios de los sitios de Google para introducir a las páginas de Google Google con una imagen que imita la página de reunión legítima. Al hacer clic en cualquier parte de la imagen, dirige a la víctima a las páginas de phishing que desencadenan el proceso de autenticación.
«Manticore educado continúa representando una amenaza persistente y de parada impacto, particularmente para las personas en Israel durante la etapa de ascensión del conflicto de Irán-Israel», dijo Check Point.
«El asociación continúa operando de guisa constante, caracterizada por una agresiva configuración de phishing de aguijada, rápida configuración de dominios, subdominios e infraestructura, y derribos de ritmo rápido cuando se identifican. Esta agilidad les permite permanecer efectivos bajo un longevo exploración».
