Investigadores de ciberseguridad han revelado detalles de una nueva campaña denominada CRESCENTHARVEST, que probablemente apunta a partidarios de las protestas en curso en Irán, llevando a cabo robo de información y operaciones de espionaje a largo plazo.
La Unidad de Investigación de Amenazas (TRU) de Acronis anunció que había observado esta actividad desde el 9 de enero. Según se informa, el ataque ofrece una carga útil maliciosa que actúa como un troyano de acceso remoto (RAT) y un ladrón de información, con el objetivo de ejecutar comandos, registrar pulsaciones de teclas y filtrar datos confidenciales. Actualmente se desconoce si alguno de los ataques tuvo éxito.
«Esta campaña aprovecha los recientes acontecimientos geopolíticos para atraer a las víctimas a abrir archivos .LNK maliciosos disfrazados de imágenes y vídeos relacionados con protestas», dijeron los investigadores Subhajeet Sinha, Eliad Kimhi y Darrell Virtusio en un informe publicado esta semana.
“Estos archivos incluyen medios auténticos e informes en idioma farsi que brindan la información más reciente de las ‘ciudades rebeldes de Irán’. Este marco de apoyo a las protestas parece tener como objetivo aumentar la credibilidad y atraer a iraníes de habla farsi que buscan información relacionada con las protestas”.
CRESCENTHARVEST es de origen desconocido, pero se cree que es obra de un grupo de amenaza alineado con Irán. El descubrimiento marca la segunda campaña identificada como dirigida a individuos específicos después de las protestas iraníes a nivel nacional que comenzaron a fines de 2025.
El mes pasado, la firma francesa de ciberseguridad HarfangLab detalló un grupo de amenazas llamado RedKitten que apuntaba a organizaciones no gubernamentales e individuos involucrados en la documentación de violaciones recientes de derechos humanos en Irán con el propósito de infectarlos con una puerta trasera personalizada conocida como SloppyMIO.
Según Acronis, se desconoce el vector de acceso inicial exacto utilizado para distribuir el malware. Sin embargo, se sospecha que los actores de amenazas dependen del phishing o de «esfuerzos prolongados de ingeniería social» en los que los operadores se toman el tiempo para establecer relaciones con las víctimas antes de enviar cargas maliciosas.
Vale la pena señalar que los grupos de hackers iraníes como Charming Kitten y Tortoiseshell tienen una historia de participación en sofisticados ataques de ingeniería social, utilizando personas falsas para acercarse a objetivos potenciales y fomentar relaciones, que a veces duran años, antes de convertir la confianza en un arma e infectarlos con malware.
«El uso de contenido en idioma farsi para ingeniería social y los archivos distribuidos que describen las protestas en términos heroicos sugieren una intención de atraer a personas de habla iraní-persa para apoyar las protestas en curso», dijo la firma de seguridad con sede en Suiza.
El punto de partida de la cadena de ataque es un archivo RAR malicioso que afirma contener información relacionada con las protestas iraníes, incluidas varias imágenes y vídeos, y dos archivos de accesos directos de Windows (LNK) que utilizan trucos de doble extensión (*.jpg.lnk o *.mp4.lnk) para disfrazarse de archivos de imagen o vídeo.
Una vez iniciado, este archivo malicioso contiene código PowerShell que recupera otro archivo ZIP y al mismo tiempo abre una imagen o un video benigno para engañar a las víctimas haciéndoles creer que han manipulado un archivo benigno.
Dentro del archivo ZIP hay varios archivos DLL que contienen un binario legítimo firmado por Google (‘software_reporter_tool.exe’) enviado como parte de la utilidad de limpieza de Chrome y dos bibliotecas maliciosas que el ejecutable descarga para lograr los objetivos del actor de la amenaza.
urtcbased140d_d.dll es un implante de C++ que extrae y descifra las claves de cifrado vinculadas a aplicaciones de Chrome a través de una interfaz COM. Esto se superpone con un proyecto de código abierto conocido como ChromElevator. version.dll (también conocida como CRESCENTHARVEST) es una herramienta de acceso remoto que enumera los productos antivirus y las herramientas de seguridad instalados, enumera las cuentas de usuario locales en el dispositivo, carga archivos DLL y recopila metadatos del sistema, credenciales del navegador, datos de la cuenta de escritorio de Telegram y pulsaciones de teclas.
CRESCENTHARVEST utiliza la API HTTP de Windows Win para comunicarse con un servidor de comando y control (C2) (‘servicelog-information(.)com’) y puede integrarse con el tráfico normal. Algunos de los comandos admitidos se enumeran a continuación.
Anti, His para realizar comprobaciones antianálisis Dir, enumerar directorios Cwd, obtener el directorio de trabajo actual Cd, cambiar el directorio GetUser, obtener información del usuario ps, ejecutar comandos de PowerShell (no funciona) KeyLog, activar el registrador de teclas Tel_s, robar datos de la sesión de Telegram Cook, robar cookies del navegador Información, robar información del sistema F_log, robar credenciales del navegador Cargar, cargar archivos Shell, ejecutar comandos de shell
«La campaña CRESCENTHARVEST representa el último capítulo de un patrón de una década de presunto espionaje cibernético patrocinado por el Estado dirigido a periodistas, activistas, investigadores y comunidades de la diáspora en todo el mundo», dijo Acronis. «Mucho de lo que observamos con CRESCENTHARVEST refleja el arte comercial establecido, incluido el acceso inicial basado en LNK, la descarga de archivos DLL con binarios firmados, la recolección de credenciales y la ingeniería social adaptada a los eventos actuales».
Source link
