El grupo cibernético iraní-Nexus, conocido como UNC1549, se ha infiltrado en 34 dispositivos en 11 organizaciones como parte de sus esfuerzos de reclutamiento en LinkedIn, lo que resulta en una nueva campaña dirigida a compañías de telecomunicaciones europeas.
La compañía suiza de ciberseguridad, ProDaft, rastrea a los grupos bajo el nombre de sutiles caracoles. Se cree que se está asociando con la Guardia Revolucionaria Islámica de Irán (IRGC). Las 11 compañías elegibles se encuentran en Canadá, Francia, los Emiratos Árabes Unidos, el Reino Unido y los Estados Unidos.
«Este grupo opera bajo la apariencia de representantes de recursos humanos de entidades legítimas para involucrar a los empleados y luego compromete los compromete a través del despliegue de variantes de entrada trasera de mini bicicleta que se comunican con las infraestructuras de comando y control (C2) que se han proximizado a través del proxy a través de un servicio de nube de azure.
Se cree que ENC1549 (también conocido como TA455) estuvo activo desde al menos junio de 2022, y se superpone con otros dos grupos de piratería iraní conocidos como tormentas de arena de humo y carmesí (también conocido como Imperial Kitten, Ta456, Tote Shell, Yellow Riderk). El actor de amenaza fue documentado por primera vez en febrero de 2024 por Mandiant, propiedad de Google.
El uso de señuelos con temática de empleo por UNC1549 fue detallado posteriormente por la compañía israelí de ciberseguridad Clearsky. Detalló el objetivo de la industria aeroespacial en septiembre de 2023, ofreciendo familias de malware como Katanresin y Slugresin.
«La principal motivación del grupo es infiltrarse en entidades de telecomunicaciones al tiempo que mantiene interés en las organizaciones aeroespaciales y de defensa, estableciendo sostenibilidad a largo plazo, eliminando datos confidenciales para el espionaje estratégico y manteniendo interés en las organizaciones aeroespaciales y de defensa», dijo ProDaft.
La cadena de ataque incluye un amplio reconocimiento en plataformas como LinkedIn, identificación del personal clave dentro de la organización objetivo y centrarse en investigadores, desarrolladores y administradores de TI que tienen acceso a sistemas críticos y entornos de desarrolladores.
En la siguiente etapa, se observa que los actores de amenaza verificarán sus direcciones de correo electrónico y enviarán correos electrónicos de phishing de lanza para recopilar información adicional antes de promulgar una unidad de reclutamiento falso, una parte crítica de la operación.
Para lograr esto, los atacantes establecieron un perfil de cuenta de recursos humanos convincente en LinkedIn, llegando a objetivos futuros con oportunidades de empleo inexistentes, creando gradualmente confianza y confiabilidad para aumentar las posibilidades de éxito en el esquema. La campaña se caracteriza por los esfuerzos meticulosos de los operadores sutiles de caracol para coordinar los ataques de cada víctima.
Si la víctima expresa interés en la oferta, se comunicará con usted por correo electrónico y programará un tiempo de entrevista haciendo clic en un dominio fraudulento que imita a compañías como Telespazio o Safran Group. Ingrese la información requerida y la descarga del archivo ZIP se activará automáticamente.
Un archivo ejecutable que inicia un DLL malicioso llamado Minibike utilizando una DLL Sidelunead ejecutable que reside en un archivo zip, recopila información del sistema y espera cargas útiles adicionales en forma de Microsoft Visual C/C ++ DLLS, y toma el reconocimiento, el contenido de complejo, el contenido de calzoncillo, el contenido de clásico, Googg, googg chheal, Steal Outlets Out desde CHRAVE y CHRAVE y CHRAVE, y CHRAVE, y CHRAVE, y CHARACHOTS y CHRAVEHOTS y CHRAVEHOT Datos fuera del reconocimiento, las teclas de registro, el contenido del portapapeles y el robo.
En particular, el navegador web Steeler incorpora una herramienta pública llamada Chrome-App-Bound-Ryction-Dryption para evitar la protección de cifrado unida a la aplicación implementada por Google para descifrar y robar contraseñas almacenadas en su navegador.
«El equipo sutil de caracol construye e implementa una DLL específica de víctima única en la máquina cada vez para recopilar información de configuración de red de los dispositivos», dijo ProDaft. «Los archivos DLL maliciosos utilizados por los actores de amenaza exhiben características similares en la sección de exportación».
«Un archivo DLL legítimo se modifica para facilitar la ejecución perfecta de los ataques Sideload DLL. Aquí, los nombres de las funciones se reemplazan directamente con variables de cadena. Esta táctica permite a los atacantes omitir los mecanismos de detección típicos manipulando las tablas de exportación de la DLL.
Minibike es una puerta trasera modular totalmente funcional que admite 12 comandos diferentes para facilitar la comunicación C2, enumerar archivos y directorios, enumerar procesos, terminar procesos específicos, cargar archivos en trozos y ejecutar Exe, DLL, BAT o CMD Pague.
Además de combinar el tráfico C2 con comunicaciones en la nube regulares que utilizan servicios de nube Azure legítimos y servidores privados virtuales (VPS) como infraestructura proxy, el malware realiza cambios en el registro de Windows y se carga automáticamente después de las botas del sistema.
También tiene técnicas contra la prevención y el sandboxing para prevenir el análisis, y utiliza métodos como el flujo de control de aplanamiento y los algoritmos de hash personalizado para resolver las funciones de API de Windows en tiempo de ejecución para resistir la ingeniería inversa y dificultar la comprensión de la funcionalidad general.
«Las operaciones sutiles de caracol combinan la recopilación de inteligencia con acceso a largo plazo a las redes de comunicaciones críticas, causando daños graves», dijo Productaft. «No solo infectan sus dispositivos. Buscan activamente formas de mantener vivos los datos confidenciales y el acceso».
«Nos estamos centrando en usar rutas predefinidas para guiar las búsquedas, robar correos electrónicos, configuraciones de VPN y otra información que nos ayude a mantener el control. También estamos buscando archivos confidenciales almacenados en carpetas compartidas donde podemos publicar secretos comerciales y datos personales».
Se ha lanzado el kit de herramientas diversificado de Muddywater
Esta divulgación arrojó luz sobre el conjunto de herramientas de infraestructura y malware del grupo-IB, una herramienta establecida para otro grupo de piratería patrocinado por el estado iraní conocido como Muddywater, reduciendo su dependencia de las herramientas de monitoreo y gestión remota (RMM) que «significativamente» y «significativamente» se basan.
Bugsleep (first seen in May 2024), a Python-based backdoor designed to run commands to facilitate file transfers (first seen in February 2025), a portable executable injector Stealthcache (first seen in March 2025), a backdoor with a rich feature for creating files to read and create files, It uses loaders (first seen in April 2025), which can load, decrypt and execute encrypted payloads in Memory Phoenix (visto por primera vez en abril de 2025), malware utilizado para implementar variantes despectivas de ratas de cañón de sueño de insectos, malware, una herramienta maliciosa diseñada para el control remoto de las puertas traseras básicas utilizando comunicaciones en sistemas complejos UDPGANGSTOR.
Muddywater, que ha estado activo desde 2017, ha sido calificado como un subcomponente dentro de la Agencia de Inteligencia de Irán (MOI). También rastreado como Swamp Serpen, Mango Sandstorm y TA450, el actor de amenaza tiene una historia dirigida a las comunicaciones de Medio Oriente, el gobierno, la energía, la defensa y las organizaciones de infraestructura crítica.
«Actividades recientes muestran que aún dependen del phishing para la entrega y están aprovechando a MalDoc con macros maliciosos para la infección. El análisis de infraestructura revela el uso activo de los servicios web de Amazon (AWS) para alojar activos maliciosos, con servicios de infraestructura de nubes de infraestructura de infraestructura, dijo impede Almasur Almoud.
«La persistente campaña de Muddywater destaca su papel en el apoyo a los requisitos de informes de inteligencia de Irán mientras mantiene la negatividad plausible hacia las operaciones cibernéticas orientadas al estado contra competidores regionales y objetivos occidentales».
Source link
