El grupo de piratería patrocinado por el estado iraní asociado con la Fuerza de Seguridad Revolucionaria Islámica (IRGC) está vinculado a una campaña de phishing de lanza dirigida a periodistas, expertos en ciberseguridad conocidos y profesores de informática israelíes.
«En algunas de estas campañas, los atacantes que fingieron ser asistentes ficticios o investigadores de tecnología o investigadores de WhatsApp abordaron a los expertos en tecnología y ciberseguridad israelíes que fingieron ser asistentes ficticios para ejecutivos o investigadores de tecnología a través de mensajes de correo electrónico y WhatsApp», dijo Checkpoint en un informe publicado. «El actor de amenaza ha sido invitado a las víctimas que han sido invitadas a ayudar a su página de inicio de sesión de Gmail».
La compañía de ciberseguridad lo atribuyó a actividades a los grupos de amenazas que rastrean APT35 (y su subcluster APT42), Kalank, Charming Kitten, Charming Cypress, Cobalt Illusion, ITG18, Magic Hound, Mint Sand Storm (anteriormente Lynpulse), Newscaster, Ta453 y el amarillo Garda.
Los grupos avanzados de amenaza persistente (APT) tienen una larga historia de utilizar señuelos elaborados para coordinar ataques de ingeniería social, acercarse a objetivos en diversas plataformas como Facebook y LinkedIn, y usar personas ficticias para engañar a las víctimas para implementar malware en sistemas.
Según Checkpoint, se observó que después de la Guerra Israelí, una nueva ola de ataques que comenzó a mediados de junio de 2025 dirigió a la gente israelí que usaba reuniones falsas, ya sea a través de correos electrónicos específicos o mensajes de WhatsApp. Se cree que los mensajes se crean utilizando herramientas de inteligencia artificial (AI).
Un mensaje de WhatsApp marcado por la compañía ha utilizado las tensiones geopolíticas actuales entre los dos países para trabajar juntas en las víctimas, alegando que se necesita apoyo inmediato en los sistemas de detección de amenazas basados en AI para combatir los aumento de los ataques cibernéticos dirigidos a Israel desde el 12 de junio.
Al igual que lo que se observó en campañas de gatito atractivas anteriores, el primer mensaje carece de artefactos maliciosos y está diseñado principalmente para ganar la confianza del objetivo. Una vez que el actor de amenaza genere confianza en el curso de la conversación, el ataque pasa a la siguiente fase al compartir un enlace que dirige a la víctima a una página de destino falsa donde puede recopilar las calificaciones de la cuenta de Google.
«Antes de enviar un enlace de phishing, los actores de amenaza le pedirán a la víctima una dirección de correo electrónico», dijo Checkpoint. «Esta dirección se ingresa previa en la página de phishing de calificación para aumentar la confiabilidad e imitar la apariencia de un flujo legítimo de autenticación de Google».
«Los kits de phishing personalizados (…) imitan de cerca las páginas de inicio de sesión familiares como Google. Utiliza tecnologías web modernas como aplicaciones de página única (SPA) basadas en React y enrutamiento dinámico de páginas. Utiliza conexiones WebSocket en tiempo real para enviar datos robados.
La página falsa de un kit de phishing personalizado no solo puede capturar credenciales, sino que también captura el código de autenticación de dos factores (2FA) para promover efectivamente los ataques de retransmisión 2FA. El kit también incluye un keylogger pasivo para grabar todas las pulsaciones de teclas ingresadas por la víctima y eliminarlas si el usuario abandona el proceso en el medio.
Algunos de los esfuerzos de ingeniería social incluyen el uso del dominio de Google Sites, alojando páginas de Google Meet con imágenes que imitan las páginas de reuniones legítimas. Haga clic en cualquier lugar de la imagen para instruir a la víctima en una página de phishing que desencadena el proceso de autenticación.
«Manticore educado continúa representando una amenaza duradera e impactante para las personas israelíes, particularmente durante la etapa de escalada del conflicto de Israel-Israel», dijo Checkpoint.
“El grupo continúa operando de manera constante, con el phishing agresivo de la lanza, la configuración rápida de dominios, subdominios, infraestructura y derribos de ritmo rápido cuando se identifican.
Source link
