Un nuevo informe elaborado por Microsoft advierte de que piratas informáticos presuntamente ligados al gobierno iraní están llevando ataques contra expertos de 'alto perfil' que trabajan en temas de Oriente Medio en organizaciones y universidades de Gaza, Israel, EE.UU, Reino Unido, Francia y Bélgica.
Los investigadores de inteligencia de amenazas de la compañía de Redmond han identificado a este grupo de hackers como un subgrupo de la pandilla Mint Sandstorm.
A esta también se la conoce como APT35 o Charming Kitten y se la vincula con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC), un brazo de inteligencia del ejército de Irán. Sus campañas suelen buscar extraer información e inteligencia de datos para los líderes de Teherán.
Desde la compañía tecnológica aseguran que, en esta ocasión, dichos actores de amenazas han usado señuelos de phishing personalizados para "diseñar socialmente objetivos para que descarguen archivos maliciosos".
“Los operadores asociados con este subgrupo de Mint Sandstorm son ingenieros sociales pacientes y altamente capacitados cuyo oficio carece de muchas de las características que permiten a los usuarios identificar rápidamente los correos electrónicos de phishing. En algunos casos de esta campaña, este subgrupo también utilizó cuentas legítimas pero comprometidas para enviar señuelos de phishing”, ha explicado la unidad de Microsoft.
"Además, Mint Sandstorm continúa mejorando y modificando las herramientas utilizadas en los entornos de los objetivos, actividad que podría ayudar al grupo a persistir en un entorno comprometido y evadir mejor la detección", añaden.
Entre los señuelos utilizados se usan temas como la guerra entre Israel y Hamas y los investigadores creen que el objetivo es obtener una variedad de perspectivas sobre el conflicto, según se hace eco The Record Media.
Cómo operaba el subgrupo
Mint Sandstorme se ha prodigado en el pasado persiguiendo a periodistas, investigadores, profesores u otras personas con “campañas de ingeniería social que requieren un uso intensivo de recursos”.
Esta vez se han hecho pasar por personas como comunicadores de medios muy importantes pidiendo opiniones a través del correo electrónico sobre la guerra entre Israel y Hamas.
En algunos casos lo hacían desde cuentas de email legítimas de estas personas, que habían conseguido intervenir y a las que estaban suplantando.
El primer paso era esta interacción maliciosa y a posteriori sí que se buscaba un espionaje. Así, enviaban algún enlace a un dominio malicioso que llevaba a las víctimas a un archivo .rar que supuestamente contenía documentos.
Finalmente, acababan colocando puertas traseras personalizadas en los sistemas de las víctimas, pudiendo mantener su acceso.
"La capacidad de obtener y mantener acceso remoto al sistema de un objetivo puede permitir a Mint Sandstorm realizar una variedad de actividades que pueden afectar negativamente la confidencialidad de un sistema", han alertado los investigadores.
“El compromiso de un sistema específico también puede crear riesgos legales y de reputación para las organizaciones afectadas por esta campaña. A la luz de la paciencia, los recursos y las habilidades observadas en las campañas atribuidas a este subgrupo de Mint Sandstorm, Microsoft continúa actualizando y aumentando nuestras capacidades de detección para ayudar a los clientes a defenderse contra esta amenaza”, añaden.