El grupo de cibercriminales TA453, patrocinado por el Gobierno de Irán y también conocido como Charming Kitten, Phosphorus y APT42, ha estado apuntando a personas especializadas en asuntos de Oriente Medio, seguridad nuclear o investigación sobre el genoma humano como parte de nuevas campañas de ingeniería social diseñadas para realizar acciones de ciberespionaje.
Así lo pone de manifiesto una nueva investigación de Proofpoint, en la que advierte que el grupo no ha dejado de innovar en sus ataques desde finales de 2021 y que últimamente ha llevado sus amenazas de phishing a un nuevo nivel con la utilización de una táctica que la compañía de ciberseguridad denomina la "suplantación multipersona".
La cadena de ataque comienza con correos electrónicos de phishing en los que los ciberdelincuentes suplantan la identidad de individuos legítimos pertenecientes a organizaciones de investigación de política exterior occidentales, como el Centro de Investigación PEW, el Instituto de Investigación de Política Exterior (FRPI), el Instituto Real de Asuntos Internacionales de Reino Unido o la revista científica Nature.
Generalmente se hacen pasar por investigadores o académicos con la intención de aproximarse a ciertos contactos que tienen datos relevantes sobre Israel, los Estados del Golfo, los Acuerdos de Abraham y el control de armas nucleares en relación con un posible enfrentamiento entre Estados Unidos y Rusia. Asimismo, dentro de los mensajes, incluían preguntas, por ejemplo, sobre política exterior como pretexto para mandar enlaces o archivos maliciosos, aunque también es posible que fuesen preguntas encargadas a TA453 con fines de inteligencia. De hecho, Proofpoint cree que TA453 puede operar en nombre del Cuerpo de la Guardia Revolucionaria Islámica (IRGC), una posibilidad también respaldada recientemente por Mandiant, otra compañía de ciberseguridad.
La "suplantación multipersona"
Si bien el grupo TA452 ya se había hecho pasar anteriormente por otras personas, la "suplantación multipersona" es una técnica diferente que comenzó a utilizar el pasado mes de junio. Como explica Proofpoint, con este método los ciberdelincuentes utilizan a al menos dos personas controladas por ellos mismos dentro del mismo hilo de correo electrónico para aumentar así la credibilidad y sus probabilidades de éxito.
"Esta técnica permite que TA453 aproveche el principio de psicología de la prueba social para asediar a sus objetivos y aumentar la autenticidad del spear phishing del actor de amenazas. Proofpoint ha observado previamente esta técnica de actores de compromiso de correo electrónico empresarial avanzado como TA2520 (Cosmic Lynx)", señala el informe. "Si bien Proofpoint ha observado previamente que TA453 usa cuentas de correo electrónico comprometidas para enviar correos electrónicos de phishing, Proofpoint no tiene ninguna indicación específica de que estas personas falsificadas hayan sido víctimas de TA453", añade.
En palabras de Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint: "Los grupos de ciberdelincuencia patrocinados por estados son los mejores en campañas de ingeniería social de lo más pensadas para llegar a sus víctimas con éxito. En esta ocasión, TA453 ha intensificado su juego utilizando la suplantación de varias personas, lo cual es una técnica fascinante que requiere de más recursos por cada objetivo y un abordaje coordinado entre las distintas identidades empleadas en estos ataques".
El siguiente paso de las amenazas de TA453
Aunque el uso de la suplantación multipersona por parte de TA453 es la técnica más reciente del grupo, el informe apunta en su conclusión que es probable que siga evolucionando y transformándose a medida que los atacantes tengan nuevos objetivos de ciberespionaje con el apoyo de Irán. De hecho, los investigadores de Proofpoint ya han empezado a ver el siguiente paso de las amenazas de TA453, enviando y respondiendo correos en blanco con el objetivo de eludir su detección.
La compañía de ciberseguridad recomienda a todos aquellos que se dedican a la seguridad internacional, política exterior o investigación, entre otras áreas de trabajo, que estén muy atentos cuando reciban emails no solicitados o inesperados, y que comprueben los sitios web de las supuestas entidades, organizaciones o usuarios que aparecen como remitente para ver si las direcciones de correo son legítimas.