Un asociación de espionaje cibernético de Irán-Nexus conocido como UNC1549 se ha atribuido a una nueva campaña dirigida a compañías de telecomunicaciones europeas, infiltrando con éxito 34 dispositivos en 11 organizaciones como parte de una actividad temática de sustitución en LinkedIn.
La compañía suiza de ciberseguridad ProDaft está rastreando el clúster bajo el nombre Caracol. Se evalúa estar afiliado al Cuerpo de la Guardián Revolucionaria Islámica de Irán (IRGC). Las 11 empresas específicas se encuentran en Canadá, Francia, los Emiratos Árabes Unidos, el Reino Unido y los Estados Unidos.
«El asociación opera haciéndose sobrevenir por representantes de medios humanos de entidades legítimas para involucrar a los empleados, luego los compromete a través del despliegue de una variable de puerta trasera de minibike que se comunica con la infraestructura de comando y control (C2) representada a través de los servicios de la abundancia de Azure para evitar la detección», dijo la compañía en un documentación compartido con las noticiario de los piratas informáticos.
UNC1549 (todavía conocido como TA455), que se cree que es activo desde al menos junio de 2022, comparte superposiciones con otros dos grupos de piratería iraní conocidos como tormenta de arena de humo y tormenta de arena carmesí (todavía conocida como Imperial Kitten, TA456, Tortoiseshell y Yellow Liderc). El actor de amenaza fue documentado por primera vez por el Mandiant propiedad de Google en febrero de 2024.
El uso de señuelos con temática de empleo por UNC1549 fue seguidamente detallado por la compañía israelí de ciberseguridad Clearsky, que detalló la orientación del adversario de la industria aeroespacial desde septiembre de 2023 para ofrecer familias de malware como Snailresin y Slugresin.
«La motivación principal del asociación implica infiltrarse en las entidades de telecomunicaciones al tiempo que mantiene interés en las organizaciones aeroespaciales y de defensa para establecer la persistencia a dilatado plazo y exfiltrar datos sensibles a fines de espionaje estratégicos», dijo Profaft.
Las cadenas de ataques implican un amplio examen en plataformas como LinkedIn para identificar al personal secreto interiormente de las organizaciones objetivo, centrándose específicamente en investigadores, desarrolladores y administradores de TI con camino elevado a sistemas críticos y entornos de desarrolladores.
En la posterior grado, se ha observado que los actores de amenaza envían correos electrónicos de phishing de alabarda para validar las direcciones de correo electrónico y compendiar información adicional antaño de promulgar la parte crucial de la operación: la dispositivo de sustitución falsa.
Para obtener esto, los atacantes establecieron perfiles de cuenta de medios humanos convincentes en LinkedIn y se comunicaron con posibles objetivos con oportunidades de trabajo inexistentes, creando gradualmente confianza y credibilidad para aumentar la probabilidad de éxito del esquema. La campaña se caracteriza por los esfuerzos meticulosos de los operadores sutiles de caracol para adaptar el ataque para cada víctima.
Si la víctima expresa interés en la ofrecimiento, se contactan seguidamente por correo electrónico para programar una hora para una entrevista haciendo clic en un dominio fraudulento que imita a compañías como Telespazio o Safran Group. Entrando la información necesaria desencadena automáticamente la descarga de un archivo zip.
Present within the ZIP file is an executable that, merienda launched, uses DLL side-loading to launch a malicious DLL named MINIBIKE, which then gathers system information and awaits additional payloads in the form of Microsoft Visual C/C++ DLLs to conduct reconnaissance, log keystrokes and clipboard content, steal Microsoft Outlook credentials, collect web browser data from Google Chrome, Brave, and Microsoft Edge, and take capturas de pantalla.
El Stealer del navegador web, en particular, incorpora una útil habitable públicamente llamamiento Chrome-app Bound-Cryption-Dryption para evitar las protecciones de criptográfico unidas a la aplicación.
«El equipo sutil de caracol construye e implementa una DLL específica de la víctima y única en la máquina cada vez, incluso para compendiar información de configuración de red de dispositivos», señaló ProDaft. «Los archivos DLL maliciosos utilizados por el actor de amenazas exhiben características similares en la sección de exportación».
«Los archivos DLL legítimos se modifican para solucionar una ejecución perfecta de un ataque de carga supletorio de DLL, donde los nombres de funciones se sustituyen con variables de esclavitud directa. Esta táctica permite al atacante evitar los mecanismos de detección típicos manipulando la tabla de exportación de la DLL, lo que hace que aparezca como un archivo oficial mientras realiza actividades maliciosas».
Minibike es una puerta trasera modular y modular con soporte para 12 comandos distintos para solucionar la comunicación de C2, lo que le permite enumerar archivos y directorios, enumerar los procesos y terminar los específicos, cargar archivos en trozos, así como ejecutar las cargas de plazo EXE, DLL, BAT o CMD.
Por otra parte de combinar su tráfico C2 con comunicaciones en la abundancia regulares mediante el uso de servicios legítimos de Azure Cloud y servidores privados virtuales (VPSE) como infraestructura proxy, el malware realiza modificaciones de registro de Windows de modo que se cargue automáticamente posteriormente de la inicio del sistema.
Además presenta técnicas anti-defractación y anti-sandbox para obstaculizar el investigación, y utiliza métodos como aplanamiento de flujo de control y algoritmos de hashing personalizados para resolver las funciones de la API de Windows en tiempo de ejecución en un esfuerzo por resistir la ingeniería inversa y dificultar la comprensión de su funcionalidad genérico.
«Las operaciones sutiles de caracol causan daños graves al combinar la compendio de inteligencia con camino a dilatado plazo a redes de telecomunicaciones críticas», dijo Productft. «No solo infectan dispositivos; buscan activamente datos confidenciales y formas de suministrar vivo su camino».
«Utilizan rutas predefinidas para gobernar sus búsquedas y se centran en robar correos electrónicos, configuraciones de VPN y otra información que les ayude a suministrar el control. Además buscan archivos confidenciales almacenados en carpetas compartidas, que pueden exponer secretos comerciales y datos personales».
El conjunto de herramientas diversificado de Muddywater expuesto
La divulgación se produce cuando el IB del Montón arroja luz sobre el conjunto de herramientas de infraestructura y malware de otro asociación de piratería patrocinado por el estado iraní conocido como Muddywater, que ha estrecho «significativamente» su dependencia de las herramientas de monitorización y distribución remota (RMM) a honra de las poscas y herramientas como
- Bugsleep (Conocido por primera vez en mayo de 2024), una puerta trasera basada en Python diseñada para ejecutar comandos y solucionar las transferencias de archivos
- Inyección de lite (Conocido por primera vez en febrero de 2025), un inyector ejecutable portátil
- Piloteo (Conocido por primera vez en marzo de 2025), una puerta trasera rica en características con capacidades para adivinar/escribir archivos, terminar o reiniciarse, escanear procesos de seguridad y robar credenciales y archivos
- Barragana (Conocido por primera vez en marzo de 2025), un cargador capaz de cargar, descifrar y ejecutar una carga útil cifrada en la memoria
- Fénix (Conocido por primera vez en abril de 2025), un malware que se usa para implementar una variable despojada de Bugsleep
- Cañónuna útil maliciosa diseñada para el control remoto de los sistemas comprometidos
- Udpgangsteruna puerta trasera básica que se comunica con su servidor C2 sobre el protocolo UDP
Muddywater, activo desde 2017, se evalúa como un factor subordinado interiormente del Tarea de Inteligencia y Seguridad de Irán (MOI). Además rastreado como serpens pantanosos, tormenta de arena de mango y TA450, el actor de amenaza tiene una historia de dirigir las entidades de infraestructura de telecomunicaciones, gobierno, energía, defensa e infraestructura críticas en el Medio Oriente, con un nuevo aumento en los ataques dirigidos a Europa y Estados Unidos.
«Actividad fresco muestra que todavía dependen del phishing para la entrega, aprovechando a Maldocs con macros maliciosas para la infección. El investigación de infraestructura ha revelado el uso activo de los servicios web de Amazon (AWS) para penetrar activos maliciosos y los servicios de manchas de nubes se han utilizado para ocultar las hilabes de infraestructura e impedir el investigación», dijo el investigador del asociación Mansour Alhmoud.
«Las campañas persistentes de Muddywater subrayan su papel en el apoyo a los requisitos de inteligencia iraní al suministrar la negativa plausible para las operaciones cibernéticas dirigidas por el estado contra los competidores regionales y los objetivos occidentales».
