Un clan de Irán-Nexus se ha relacionado con una campaña de phishing de rejón «coordinada» y «multi onda» dirigida a las embajadas y consulados en Europa y otras regiones en todo el mundo.
La actividad ha sido atribuida por la compañía de ciberseguridad israelí Dream a operadores alineados con iraní conectados a una actividad cibernética ataque más amplia realizada por un clan conocido como Conciencia de la nación.
«Se enviaron correos electrónicos a múltiples destinatarios del gobierno en todo el mundo, disfrazando la comunicación diplomática legítima», dijo la compañía. «La evidencia apunta alrededor de un esfuerzo de espionaje regional más amplio dirigido a entidades diplomáticas y gubernamentales durante un momento de tensión geopolítica elevada».
Las cadenas de ataque implican el uso de correos electrónicos de phishing de rejón con temas relacionados con las tensiones geopolíticas entre Irán e Israel para expedir una palabra maliciosa de Microsoft que, cuando se abre, insta a los destinatarios a «habilitar el contenido» para ejecutar una macro de aplicaciones Visual Basic para aplicaciones (VBA) de Visual Basic (VBA), que es responsable de desplegar la carga de plazo de malware.
Los mensajes de correo electrónico, por sueño, se enviaron a embajadas, consulados y organizaciones internacionales en el Medio Oriente, África, Europa, Asia y las Américas, lo que sugiere que la actividad emitió una amplia red de phishing. Se dice que las embajadas europeas y las organizaciones africanas fueron las más dirigidas.
Las misivas digitales fueron enviadas desde 104 direcciones comprometidas únicas que pertenecen a funcionarios y entidades pseudo-gubernamentales para darles una capa adicional de credibilidad. Al menos algunos de los correos electrónicos se originaron en un hendidura pirateado perteneciente al Empleo de Asuntos Exteriores de Omán en París (*@fm.gov.om).
«El contenido de señuelo hizo narración constantemente a las comunicaciones de MFA urgentes, transmitió autoridad y explotó la maña popular de permitir que las macros accedieran al contenido, que son los sellos distintivos de una operación de espionaje proporcionadamente planificada que enmascaró deliberadamente la atribución», dijo Dream.
El objetivo final de los ataques es implementar utilizando el Macro VBA un ejecutable que puede establecer persistencia, contactar a un servidor de comando y control (C2) e información del sistema de cosecha.
La compañía de ciberseguridad Clearsky, que igualmente detalló algunos aspectos de la campaña a fines del mes pasado, dijo que los correos electrónicos de phishing se enviaron a múltiples ministerios de asuntos exteriores.
«Los actores de amenaza iraníes utilizaron técnicas de ofuscación similares en 2023 cuando se dirigieron a Mojahedin-e-Khalq en Albania», dijo en una publicación sobre X. «Evaluamos con confianza moderada de que esta actividad está vinculada a los mismos actores de amenaza iraníes».
