Investigadores de ciberseguridad han revelado detalles de una nueva campaña denominada COSECHA CRESCENTEprobablemente dirigido a partidarios de las protestas en curso en Irán para tolerar a promontorio robo de información y espionaje a espléndido plazo.
La Mecanismo de Investigación de Amenazas de Acronis (TRU) dijo que observó la actividad posteriormente del 9 de enero, con ataques diseñados para entregar una carga maliciosa que sirve como troyano de camino remoto (RAT) y timador de información para ejecutar comandos, registrar pulsaciones de teclas y filtrar datos confidenciales. Actualmente no se sabe si alguno de los ataques tuvo éxito.
“La campaña explota los recientes acontecimientos geopolíticos para atraer a las víctimas a inaugurar archivos .LNK maliciosos disfrazados de imágenes o vídeos relacionados con protestas”, dijeron los investigadores Subhajeet Singha, Eliad Kimhy y Darrel Virtusio en un mensaje publicado esta semana.
“Estos archivos incluyen medios auténticos y un mensaje en idioma farsi que proporciona actualizaciones de ‘las ciudades rebeldes de Irán’. Este entorno a protección de las protestas parece tener como objetivo aumentar la credibilidad y atraer a iraníes de palabra farsi que buscan información relacionada con las protestas”.
CRESCENTHARVEST, aunque no está atribuido, se cree que es obra de un clan de amenaza vinculado con Irán. El descubrimiento la convierte en la segunda campaña de este tipo identificada como dirigida contra personas específicas posteriormente de las protestas a nivel franquista en Irán que comenzaron a finales de 2025.
El mes pasado, la empresa francesa de ciberseguridad HarfangLab detalló un clan de amenazas denominado RedKitten que apuntaba a organizaciones no gubernamentales e individuos involucrados en la documentación de recientes abusos contra los derechos humanos en Irán con el objetivo de infectarlos con una puerta trasera personalizada conocida como SloppyMIO.
Según Acronis, se desconoce el vector de camino auténtico exacto utilizado para distribuir el malware. Sin requisa, se sospecha que los actores de la amenaza se basan en el phishing o en “esfuerzos prolongados de ingeniería social” en los que los operadores establecen una relación con las víctimas a lo espléndido del tiempo antaño de mandar las cargas maliciosas.
Vale la pena señalar que los grupos de hackers iraníes como Charming Kitten y Tortoiseshell tienen un historial de participar en sofisticados ataques de ingeniería social que implican acercarse a objetivos potenciales bajo personas falsas y cultivar una relación con ellos, en algunos casos incluso que se prolonga durante primaveras, antaño de convertir la confianza en un armamento para infectarlos con malware.
“El uso de contenido en idioma farsi para ingeniería social y los archivos distribuidos que describen las protestas en términos heroicos sugieren una intención de atraer a personas de origen iraní que hablan farsi y que apoyan las protestas en curso”, señaló la empresa de seguridad con sede en Suiza.
El punto de partida de la dependencia de ataque es un archivo RAR desconfiado que afirma contener información relacionada con las protestas iraníes, incluidas varias imágenes y vídeos, cercano con dos archivos de camino directo de Windows (LNK) que se hacen sobrevenir por una imagen o un archivo de vídeo utilizando el truco de doble extensión (*.jpg.lnk o *.mp4.lnk).
El archivo engañoso, una vez iniciado, contiene código PowerShell para recuperar otro archivo ZIP y, al mismo tiempo, abre una imagen o un vídeo inofensivo, engañando a la víctima haciéndole creer que ha interactuado con un archivo amable.
Adentro del archivo ZIP hay un binario permitido firmado por Google (“software_reporter_tool.exe”) enviado como parte de la utilidad de precisión de Chrome y varios archivos DLL, incluidas dos bibliotecas no autorizadas que el ejecutable descarga para conquistar los objetivos del actor de la amenaza.
- urtcbased140d_d.dll, un implante de C++ que extrae y descifra las claves de secreto vinculadas a aplicaciones de Chrome a través de interfaces COM. Comparte superposiciones con un plan de código amplio conocido como ChromElevator.
- version.dll (todavía conocido como CRESCENTHARVEST), una aparejo de camino remoto que enumera los productos antivirus y las herramientas de seguridad instalados, enumera las cuentas de legatario locales en el dispositivo, carga archivos DLL, recopila metadatos del sistema, credenciales del navegador, datos de la cuenta de escritorio de Telegram y pulsaciones de teclas.
CRESCENTHARVEST emplea las API HTTP de Windows Win para comunicarse con su servidor de comando y control (C2) (“servicelog-information(.)com”), lo que le permite integrarse con el tráfico frecuente. Algunos de los comandos admitidos se enumeran a continuación:
- Antipara ejecutar comprobaciones antianálisis
- Supara robar el historial del navegador
- Directoriopara enumerar directorios
- CWDpara obtener el directorio de trabajo presente
- Cdpara cambiar de directorio
- Obtener legatariopara obtener información del legatario
- PDpara ejecutar comandos de PowerShell (no funciona)
- Registro de clavespara activar el registrador de teclas
- Tel_spara robar datos de sesión de Telegram
- Cocinarpara robar cookies del navegador
- Informaciónpara robar información del sistema
- Azotarpara robar credenciales del navegador
- Subirpara subir archivos
- caparazónpara ejecutar comandos de shell
“La campaña CRESCENTHARVEST representa el final capítulo de un patrón de una término de supuestas operaciones de ciberespionaje de estados-nación dirigidas a periodistas, activistas, investigadores y comunidades de la diáspora en todo el mundo”, dijo Acronis. “Mucho de lo que observamos en CRESCENTHARVEST refleja un oficio acertadamente establecido: camino auténtico basado en LNK, carga fronterizo de DLL a través de archivos binarios firmados, convento de credenciales e ingeniería social alineada con los eventos actuales”.
