Un categoría de piratería patrocinado por el estado iraní asociado con el Cuerpo de la Retén Revolucionaria Islámica (IRGC) se ha relacionado con una campaña de phishing de alabarda dirigida a periodistas, expertos en seguridad cibernética de stop perfil y profesores de informática en Israel.
“En algunas de esas campañas, los atacantes se enfrentaron a los profesionales de la tecnología israelí y la seguridad cibernética que se hicieron acontecer por asistentes ficticios a ejecutivos o investigadores de tecnología a través de correos electrónicos y mensajes de WhatsApp”, dijo Check Point en un noticia publicado el miércoles. “Los actores de amenaza dirigieron a las víctimas que se dedicaron a ellos a falsificar páginas de inicio de sesión de Gmail o Google cumplen con las invitaciones”.
La compañía de seguridad cibernética atribuyó la actividad a un categoría de amenazas que rastrea como Manticore educado, que se superpone con APT35 (y su subgrupo APT42), Calanqu, gatito encantador, Charmingcypress, Cobalt Illusion, ITG18, Magic Hound, Mint Sandstorm (antiguo fósforo), Newscaster, Ta453 y Yellow Garuda.
El categoría reformista de amenaza persistente (APT) tiene una larga historia de orquestar ataques de ingeniería social utilizando señuelos elaborados, que se acercan a objetivos en varias plataformas como Facebook y LinkedIn utilizando personajes ficticios para engañar a las víctimas para implementar malware en sus sistemas.
Check Point dijo que observó una nueva ola de ataques a partir de mediados de junio de 2025 posteriormente del estallido de la Extirpación de Irán-Israel que atacó a las personas israelíes que usan señuelos falsos de reuniones, ya sea a través de correos electrónicos o mensajes de WhatsApp adaptados a los objetivos. Se cree que los mensajes están diseñados utilizando herramientas de inteligencia químico (IA).
Uno de los mensajes de WhatsApp marcados por la compañía aprovechó las tensiones geopolíticas actuales entre los dos países para convencer a la víctima para unirse a una reunión, alegando que necesitaban su afluencia inmediata en un sistema de detección de amenazas basado en AI para contrarrestar un aumento en los ataques cibernéticos dirigidos a Israel desde el 12 de junio.
Los mensajes iniciales, como los observados en las encantadoras campañas de gatitos encantadoras anteriores, carecen de artefactos maliciosos y están diseñados principalmente para triunfar la confianza de sus objetivos. Una vez que los actores de amenaza construyen una relación en el transcurso de la conversación, el ataque pasa a la futuro período al compartir enlaces que dirigen a las víctimas a falsificar páginas de destino capaces de recoger sus credenciales de cuentas de Google.
“Antaño de expedir el enlace de phishing, los actores de amenaza piden a la víctima su dirección de correo electrónico”, dijo Check Point. “Esta dirección se llena previamente en la página de phishing de credencial para aumentar la credibilidad e imitar la apariencia de un flujo lícito de autenticación de Google”.
“El kit de phishing personalizado (…) imita de cerca las páginas de inicio de sesión familiares, como las de Google, utilizando tecnologías web modernas, como aplicaciones de página única basadas en React (SPA) y enrutamiento dinámico de páginas. Además utiliza conexiones WebSocket en tiempo existente para expedir datos robados, y el diseño le permite ocultar su código de indagación adicional”.
La página falsa es parte de un kit de phishing personalizado que no solo puede capturar sus credenciales, sino además los códigos de autenticación de dos factores (2FA), facilitando efectivamente los ataques de retransmisión 2FA. El kit además incorpora un keylogger pasivo para registrar todas las pulsaciones de teclas ingresadas por la víctima y exfiltrarlas en caso de que el heredero abandone el proceso a porción de camino.
Algunos de los esfuerzos de ingeniería social además han involucrado el uso de los dominios de los sitios de Google para penetrar a las páginas de Google Google con una imagen que imita la página de reunión legítima. Al hacer clic en cualquier parte de la imagen, dirige a la víctima a las páginas de phishing que desencadenan el proceso de autenticación.
“Manticore educado continúa representando una amenaza persistente y de stop impacto, particularmente para las personas en Israel durante la período de subida del conflicto de Irán-Israel”, dijo Check Point.
“El categoría continúa operando de modo constante, caracterizada por una agresiva configuración de phishing de alabarda, rápida configuración de dominios, subdominios e infraestructura, y derribos de ritmo rápido cuando se identifican. Esta agilidad les permite permanecer efectivos bajo un viejo indagación”.
