Un liga de espionaje cibernético de Irán-Nexus conocido como UNC1549 se ha atribuido a una nueva campaña dirigida a compañías de telecomunicaciones europeas, infiltrando con éxito 34 dispositivos en 11 organizaciones como parte de una actividad temática de quinta en LinkedIn.
La compañía suiza de ciberseguridad ProDaft está rastreando el clúster bajo el nombre Caracol. Se evalúa estar afiliado al Cuerpo de la Pareja Revolucionaria Islámica de Irán (IRGC). Las 11 empresas específicas se encuentran en Canadá, Francia, los Emiratos Árabes Unidos, el Reino Unido y los Estados Unidos.
“El liga opera haciéndose ocurrir por representantes de medios humanos de entidades legítimas para involucrar a los empleados, luego los compromete a través del despliegue de una variable de puerta trasera de minibike que se comunica con la infraestructura de comando y control (C2) representada a través de los servicios de la montón de Azure para evitar la detección”, dijo la compañía en un noticia compartido con las parte de los piratas informáticos.
UNC1549 (además conocido como TA455), que se cree que es activo desde al menos junio de 2022, comparte superposiciones con otros dos grupos de piratería iraní conocidos como tormenta de arena de humo y tormenta de arena carmesí (además conocida como Imperial Kitten, TA456, Tortoiseshell y Yellow Liderc). El actor de amenaza fue documentado por primera vez por el Mandiant propiedad de Google en febrero de 2024.
El uso de señuelos con temática de empleo por UNC1549 fue después detallado por la compañía israelí de ciberseguridad Clearsky, que detalló la orientación del adversario de la industria aeroespacial desde septiembre de 2023 para ofrecer familias de malware como Snailresin y Slugresin.
“La motivación principal del liga implica infiltrarse en las entidades de telecomunicaciones al tiempo que mantiene interés en las organizaciones aeroespaciales y de defensa para establecer la persistencia a abundante plazo y exfiltrar datos sensibles a fines de espionaje estratégicos”, dijo Profaft.
Las cadenas de ataques implican un amplio agradecimiento en plataformas como LinkedIn para identificar al personal secreto internamente de las organizaciones objetivo, centrándose específicamente en investigadores, desarrolladores y administradores de TI con acercamiento elevado a sistemas críticos y entornos de desarrolladores.
En la próximo etapa, se ha observado que los actores de amenaza envían correos electrónicos de phishing de alabarda para validar las direcciones de correo electrónico y resumir información adicional antiguamente de promulgar la parte crucial de la operación: la pelotón de quinta falsa.
Para ganar esto, los atacantes establecieron perfiles de cuenta de medios humanos convincentes en LinkedIn y se comunicaron con posibles objetivos con oportunidades de trabajo inexistentes, creando gradualmente confianza y credibilidad para aumentar la probabilidad de éxito del esquema. La campaña se caracteriza por los esfuerzos meticulosos de los operadores sutiles de caracol para adaptar el ataque para cada víctima.
Si la víctima expresa interés en la propuesta, se contactan después por correo electrónico para programar una hora para una entrevista haciendo clic en un dominio fraudulento que imita a compañías como Telespazio o Safran Group. Entrando la información necesaria desencadena automáticamente la descarga de un archivo zip.
Present within the ZIP file is an executable that, merienda launched, uses DLL side-loading to launch a malicious DLL named MINIBIKE, which then gathers system information and awaits additional payloads in the form of Microsoft Visual C/C++ DLLs to conduct reconnaissance, log keystrokes and clipboard content, steal Microsoft Outlook credentials, collect web browser data from Google Chrome, Brave, and Microsoft Edge, and take capturas de pantalla.
El Stealer del navegador web, en particular, incorpora una aparejo adecuado públicamente emplazamiento Chrome-app Bound-Cryption-Dryption para evitar las protecciones de enigmático unidas a la aplicación.
“El equipo sutil de caracol construye e implementa una DLL específica de la víctima y única en la máquina cada vez, incluso para resumir información de configuración de red de dispositivos”, señaló ProDaft. “Los archivos DLL maliciosos utilizados por el actor de amenazas exhiben características similares en la sección de exportación”.
“Los archivos DLL legítimos se modifican para proporcionar una ejecución perfecta de un ataque de carga supletorio de DLL, donde los nombres de funciones se sustituyen con variables de dependencia directa. Esta táctica permite al atacante evitar los mecanismos de detección típicos manipulando la tabla de exportación de la DLL, lo que hace que aparezca como un archivo seguro mientras realiza actividades maliciosas”.
Minibike es una puerta trasera modular y modular con soporte para 12 comandos distintos para proporcionar la comunicación de C2, lo que le permite enumerar archivos y directorios, enumerar los procesos y terminar los específicos, cargar archivos en trozos, así como ejecutar las cargas de cuota EXE, DLL, BAT o CMD.
Encima de combinar su tráfico C2 con comunicaciones en la montón regulares al usar servicios legítimos de Azure Cloud y servidores privados virtuales (VPSE) como infraestructura proxy, el malware realiza modificaciones del registro de Windows de guisa que se cargue automáticamente luego del inicio del sistema.
Igualmente presenta técnicas anti-defractación y anti-sandbox para obstaculizar el prospección, y utiliza métodos como aplanamiento de flujo de control y algoritmos de hashing personalizados para resolver las funciones de la API de Windows en tiempo de ejecución en un esfuerzo por resistir la ingeniería inversa y dificultar la comprensión de su funcionalidad genérico.
“Las operaciones sutiles de caracol causan daños graves al combinar la compilación de inteligencia con acercamiento a abundante plazo a redes de telecomunicaciones críticas”, dijo Productft. “No solo infectan dispositivos; buscan activamente datos confidenciales y formas de perseverar vivo su acercamiento”.
“Utilizan rutas predefinidas para regir sus búsquedas y se centran en robar correos electrónicos, configuraciones de VPN y otra información que les ayude a perseverar el control. Igualmente buscan archivos confidenciales almacenados en carpetas compartidas, que pueden exponer secretos comerciales y datos personales”.
El conjunto de herramientas diversificado de Muddywater expuesto
La divulgación se produce cuando el IB del Congregación arroja luz sobre el conjunto de herramientas de infraestructura y malware de otro liga de piratería patrocinado por el estado iraní conocido como Muddywater, que ha estrecho “significativamente” su dependencia de las herramientas de monitorización y despacho remota (RMM) a valimiento de las poscas y herramientas como
- Bugsleep (Manido por primera vez en mayo de 2024), una puerta trasera basada en Python diseñada para ejecutar comandos y proporcionar las transferencias de archivos
- Inyección de lite (Manido por primera vez en febrero de 2025), un inyector ejecutable portátil
- Piloteo (Manido por primera vez en marzo de 2025), una puerta trasera rica en características con capacidades para deletrear/escribir archivos, terminar o reiniciarse, escanear procesos de seguridad y robar credenciales y archivos
- Barragana (Manido por primera vez en marzo de 2025), un cargador capaz de cargar, descifrar y ejecutar una carga útil cifrada en la memoria
- Fénix (Manido por primera vez en abril de 2025), un malware que se usa para implementar una variable despojada de Bugsleep
- Cañónuna aparejo maliciosa diseñada para el control remoto de los sistemas comprometidos
- Udpgangsteruna puerta trasera básica que se comunica con su servidor C2 sobre el protocolo UDP
Muddywater, activo desde 2017, se evalúa como un hábitat subordinado internamente del Empleo de Inteligencia y Seguridad de Irán (MOI). Igualmente rastreado como serpens pantanosos, tormenta de arena de mango y TA450, el actor de amenaza tiene una historia de dirigir las entidades de infraestructura de telecomunicaciones, gobierno, energía, defensa e infraestructura críticas en el Medio Oriente, con un nuevo aumento en los ataques dirigidos a Europa y Estados Unidos.
“Actividad flamante muestra que todavía dependen del phishing para la entrega, aprovechando a Maldocs con macros maliciosas para la infección. El prospección de infraestructura ha revelado el uso activo de los servicios web de Amazon (AWS) para introducir activos maliciosos y los servicios de manchas de nubes se han explotado para ocultar las hilabes de infraestructura e impedir el prospección”, dijo el investigador del liga Mansour Alhmoud.
“Las campañas persistentes de Muddywater subrayan su papel en el apoyo a los requisitos de inteligencia iraní al perseverar la traición plausible para las operaciones cibernéticas dirigidas por el estado contra los competidores regionales y los objetivos occidentales”.
