Proofpoint ha realizado una investigación sobre el grupo de cibercriminales TA453, también conocido como Charming Kitten y Phosphorus, y cuya actividad ha sido vinculada al Gobierno iraní y a los intereses de la Guardia Republicana Islámica de Irán (IRGC, por sus siglas en inglés). En concreto, se ha analizado la campaña de phishing de credenciales que lanzó el pasado mes de diciembre y que estaba dirigida a profesionales médicos de alto nivel de Estados Unidos e Israel especializados en investigación genética, neurología y oncología.
Históricamente, los objetivos de este actor de amenazas han sido disidentes, académicos, diplomáticos y periodistas pero en esta campaña, que desde Proofpoint han bautizado como BadBlood, se desvió de su actividad habitual. No obstante, la firma de ciberseguridad advierte que cabe la posibilidad de que esto solamente responda a una necesidad específica de recopilar información a corto plazo.
Según explica la empresa de ciberseguridad, en esta ocasión los atacantes se hicieron pasar por un ilustre físico israelí que, desde su cuenta de Gmail, enviaba e-mails maliciosos usando cebos de ingeniería social sobre las capacidades nucleares de Israel. "El mensaje contenía una URL que, al hacer clic sobre ella, llevaba a una página de destino que falsificaba el servicio OneDrive de Microsoft con la imagen de un PDF. Cuando el usuario intentaba ver y descargar el documento, se mostraba un inicio de sesión de Microsoft fraudulento con el que se obtenían las credenciales de la víctima", precisa.
Otras conclusiones de la investigación de Proofpoint
La compañía también señala que aunque actualmente no tiene más visibilidad sobre lo qué hacía TA453 con las credenciales obtenidas en esta campaña concreta, hay informes públicos que indican que diferentes grupos vinculados con Irán, incluido TA453, utilizaban cuentas comprometidas para realizar más ataques de phishing.
Proofpoint tampoco puede determinar de forma concluyente la motivación de los actores que están detrás de estas campañas, pero apunta lo siguiente: "Dado que en la colaboración médica se recurre a menudo de manera informal al correo electrónico, esta campaña podría demostrar que TA453 tendría un requisito por parte de inteligencia de recopilar información relacionada con la investigación genética, oncológica o neurológica. Por otra parte, podría haber cierto interés en contar con datos de pacientes con el objetivo de utilizar cuentas en otras campañas de phishing".
En 2019, el Departamento de Justicia de Estados Unidos acusó a cuatro individuos iraníes de utilizar redes sociales y correos electrónicos de suplantación de credenciales con el objetivo de llevar a cabo intrusiones informáticas maliciosas para la IRGC. Diversos informes del sector privado relacionaron a Charming Kitten con esta actividad tanto en 2017 como en 2019. Además, a principios de 2019, Microsoft informó de que TA453 estaba abusando de marcas conocidas mediante el correo electrónico para hacer spearphishing contra organismos gubernamentales, objetivos políticos y periodistas en nombre del Gobierno iraní.
"La campaña de ataques 'BadBlood' podría enmarcarse dentro de la tendencia creciente entre el ciberespionaje de tener como objetivo a investigadores médicos. Asimismo, el hecho de que TA453 se dirija a organizaciones e individuos israelíes está en línea con la tensión geopolítica en aumento entre Israel e Irán durante 2020", destaca Proofpoint.