Se ha observado que el comunidad de hackers iraní conocido como Charming Kitten implementa una modificación C++ de un conocido malware llamado BellaCiao.
La empresa rusa de ciberseguridad Kaspersky, que denominó la nueva traducción BellaCPPdijo que descubrió el artefacto como parte de una investigación «flamante» sobre una máquina comprometida en Asia que todavía estaba infectada con el malware BellaCiao.
BellaCiao fue documentada por primera vez por la empresa rumana de ciberseguridad Bitdefender en abril de 2023, describiéndola como un cuentagotas personalizado capaz de entregar cargas enseres adicionales. El comunidad de piratas informáticos ha implementado el malware en ataques cibernéticos dirigidos a Estados Unidos, Medio Oriente e India.
Igualmente es una de las muchas familias de malware personalizadas que el actor de Charming Kitten ha desarrollado a lo generoso de los primaveras. Afiliado al Cuerpo de la Policía Revolucionaria Islámica de Irán (IRGC), el comunidad de amenaza persistente avanzadilla (APT) todavía es conocido por los apodos APT35, CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (anteriormente Phosphorus), Newscaster, TA453 y Yellow Garuda. .
Si acertadamente el comunidad tiene un historial de orquestar la creación de campañas inteligentes de ingeniería social para ganarse la confianza de los objetivos y entregar malware, se ha descubierto que los ataques que involucran a BellaCiao convierten en armas fallas de seguridad conocidas en aplicaciones de paso notorio como Microsoft Exchange Server o Zoho ManageEngine.
«BellaCiao es una clan de malware basada en .NET que añade un toque único a una intrusión, combinando la persistencia sigilosa de un shell web con el poder de establecer un túnel encubierto», dijo el investigador de Kaspersky Mert Degirmenci.
La modificación C++ de BellaCiao es un archivo DLL llamado «adhapl.dll» que implementa características similares a las de su antecesor, y contiene código para cargar otra DLL desconocida («D3D12_1core.dll») que probablemente se usa para crear un túnel SSH.
Sin bloqueo, lo único de BellaCPP es la error de un shell web que se utiliza en BellaCiao para cargar y descargar archivos arbitrarios, así como para ejecutar comandos.
«Desde una perspectiva de detención nivel, esta es una representación C++ de las muestras de BellaCiao sin la funcionalidad web shell», dijo Degirmenci, añadiendo que BellaCPP «utiliza dominios previamente atribuidos al actor».