Proofpoint ha identificado un ataque dirigido a una figura religiosa prominente por parte del grupo de ciberdelincuencia iraní TA453. El ataque se inició con una falsa invitación a un podcast, a través de un correo electrónico, con el objetivo de ganarse la confianza del objetivo para que hiciera clic en un enlace malicioso. Este enlace descargaba un conjunto de herramientas de malware denominado BlackSmith, que a su vez activaba un troyano PowerShell llamado AnvilEcho.
El troyano AnvilEcho está diseñado para la recopilación y extracción de información, utilizando técnicas de cifrado y comunicación en red que dificultan su detección. El ataque comenzó con un correo que pretendía ser del director de investigación del Institute for the Study of War (ISW) y, tras varias interacciones, culminó con el envío de un archivo ZIP que contenía el malware.
“Nuestro análisis de esta campaña del grupo TA453 nos hace pensar que los desarrolladores que trabajan para ellos no han renunciado a usar ‘backdoors’ modulares en PowerShell. Su objetivo es complicar la cadena de infección para evitar las detecciones mientras recopilan información. Creemos que el conjunto de herramientas observado es el sucesor de GorjolEcho/PowerStar, TAMECURL, MischiefTut y CharmPower. Llevamos detectando ‘backdoors’ de este grupo desde 2021, la única novedad es que ahora intentan agrupar todo en un único script de PowerShell de gran tamaño que hemos denominado AnvilEcho”.
Jonathan Munizaga
Proofpoint considera que este conjunto de herramientas es un sucesor de otros malwares utilizados anteriormente por TA453 y cree que actúan en apoyo de los intereses del gobierno iraní, aunque no han podido vincular directamente al grupo con miembros del Cuerpo de la Guardia Revolucionaria Islámica (IRGC). Este grupo se superpone con otros como Mint Sandstorm, APT42 y Yellow Garuda, que en conjunto se conocen como Charming Kitten. TA453 utiliza sofisticadas técnicas de ingeniería social, incluyendo la suplantación de personalidades y el uso de enlaces legítimos, para generar confianza en sus objetivos antes de desplegar su carga maliciosa.
“TA453 utiliza muchas técnicas diferentes de ingeniería social para tratar de convencer a los objetivos a participar con contenido malicioso. Al igual que la suplantación de múltiples personalidades, el envío de enlaces legítimos a un objetivo y la referencia a un podcast real de la organización pueden generar confianza en el usuario. Cuando un actor de amenazas establece una relación a largo plazo con un objetivo antes de entregar la carga maliciosa, aumenta sus probabilidades de éxito. Con BlackSmith, el TA453 ha creado un sofisticado conjunto de herramientas de recopilación de información y ha racionalizado sus funciones de malware, pasando de ser un conjunto de diferentes scripts individuales a un completo troyano PowerShell”.
Juan Andrés
