Se ha observado que el actor de amenaza de Irán-Nexus conocido como UNC2428 entrega una puerta trasera conocida como Turbio Como parte de una campaña de ingeniería social con temática de trabajo dirigida a Israel en octubre de 2024.
Mandiant propiedad de Google describió UNC2428 como un actor de amenaza seguidor con Irán que se involucra en operaciones relacionadas con el ciber espionaje. Se dice que el conjunto de intrusiones distribuyó el malware a través de una “cautiverio compleja de técnicas de disimulo”.
“La campaña de ingeniería social de UNC2428 dirigió a las personas mientras se hacía acontecer por una oportunidad de sustitución del contratista de defensa israelí, Rafael”, dijo la compañía en su noticia anual de tendencias M para 2025.
Las personas que expresaron interés fueron redirigidas a un sitio que se hizo acontecer por Rafael, desde donde se les pidió que descargaran una útil para ayudar a solicitar el trabajo.
La útil (“RafaelConnect.exe”) era un instalador llamado Lonefleet que, una vez decidido, presentaba una interfaz gráfica de beneficiario (GUI) a la víctima para ingresar su información personal y expedir su currículum.
Una vez presentado, la puerta trasera MurkyTour se lanzó como un proceso de fondo mediante un arrojador denominado Pile Leafpile, otorgando a los atacantes acercamiento persistente a la máquina comprometida.
“Los actores de Irán-Nexus amenazas incorporaron interfaces gráficas de beneficiario (GUI) para disfrazar la ejecución e instalación de malware como aplicaciones o software legítimos”, dijo Mandiant. “La complemento de una GUI que presenta al beneficiario un instalador distintivo y está configurado para imitar la forma y la función del señuelo utilizado puede dominar las sospechas de individuos específicos”.
Vale la pena mencionar que la campaña se superpone con la actividad que la Dirección Ciberna Franquista de Israel atribuyó a un actor de amenaza iraní llamado Black Shadow.
Evaluado como operando en nombre del Servicio de Inteligencia y Seguridad de Irán (MOI), el categoría de piratería es conocido por apuntar a una amplia viso de verticales de la industria en Israel, incluida la institución, el turismo, las comunicaciones, las finanzas, el transporte, la atención médica, el gobierno y la tecnología.
Según Mandiant, UNC2428 es uno de los muchos grupos de actividades de amenazas iraníes que han entrenado sus miras en Israel en 2024. Un categoría prominente es Cyber Toufan, que se dirigió a los usuarios con sede en Israel con el limpiaparabrisas Pokyblight patentado.
UNC3313 es otro categoría de amenazas de Irán-Nexus que ha realizado vigilancia y operaciones estratégicas de convento de información a través de campañas de phishing de asta. UNC3313, documentado por primera vez por la compañía en febrero de 2022, se cree que está afiliado a Muddywater.
“El actor de amenazas alojó malware en servicios populares de intercambio de archivos y enlaces integrados interiormente de los señuelos de phishing con temas de capacitación y seminarios web”, dijo Mandiant. “En una de esas campañas, UNC3313 distribuyó el cuentagotas de gelatina y la puerta trasera de Bodybox a organizaciones e individuos dirigidos por sus operaciones de phishing”.
Los ataques montados por UNC3313 se han inclinado fuertemente en hasta nueve herramientas de monitoreo y gobierno remota legítimas (RMM) diferentes, una táctica monopolio del categoría de agua Muddywater, en un intento por evitar los esfuerzos de detección y proporcionar acercamiento remoto persistente.
La firma de inteligencia de amenazas incluso dijo que observó en julio de 2024 un supuesto adversario vinculado a Irán que distribuye un CactUspal con nombre en código interno al pasarlo como un instalador para el software de acercamiento remoto de Palo Stop Networks GlobalProtect.
El Asistente de instalación, al tiro, implementa sigilosamente la puerta trasera .NET que, a su vez, verifica solo una instancia del proceso se ejecuta ayer de que se comunique con un servidor extranjero de comando y control (C2).
A pesar del uso de herramientas RMM, incluso se ha observado que los actores de amenaza iraní como UNC1549 toman medidas para incorporar la infraestructura en la cirro en su artesanía para avalar que sus acciones se combinen con servicios prevalentes en entornos empresariales.
“Por otra parte de técnicas como el tipo de tipograto y la reutilización del dominio, los actores de amenaza han descubierto que penetrar nodos C2 o cargas enseres en la infraestructura de la cirro y el uso de dominios nativos de la cirro reduce el recuento que puede aplicarse a sus operaciones”, dijo Mandiant.
Cualquier idea del panorama de amenazas iraníes está incompleto sin APT42 (incluso conocido como Charming Kitten), que es conocido por sus elaborados esfuerzos de ingeniería social y construcción de relaciones para cosechar credenciales y entregar malware a medida para la exfiltración de datos.
El actor de amenaza, por mandante, desplegó páginas de inicio de sesión falsas disfrazadas de Google, Microsoft y Yahoo! Como parte de sus campañas de convento de credenciales, utilizando los sitios de Google y Dropbox para dirigir los objetivos para fingir las páginas de destino de Google.
En total, la compañía de seguridad cibernética dijo que identificaba a más de 20 familias de malware patentadas, incluidos droppers, descargadores y puertas traseras, utilizadas por actores iraníes en campañas en el Medio Oriente en 2024. Dos de los traseros identificados, Dodgylaffa y Spareprize, han sido empleados por APT34 (AKA Oilrig) en los ataques apuntando a las entidades iraqi.
“A medida que los actores de la amenaza de Irán-Nexus continúan persiguiendo operaciones cibernéticas que se alinean con los intereses del régimen iraní, alterarán sus metodologías para adaptarse al panorama de seguridad flagrante”, dijo Mandiant.
