Hackers iraníes apuntan a expertos en política del Oriente Medio con el nuevo backdoor BASICSTAR

Charming Kitten, también conocido como APT35, ha sido relacionado con una nueva cadena de ataques dirigidos a expertos en política de Oriente Medio a través de una nueva puerta trasera llamada BASICSTAR. Los investigadores han identificado a Charming Kitten como un actor de amenazas de origen iraní con un historial de campañas de ingeniería social dirigidas a una amplia gama de objetivos, incluyendo grupos de expertos, ONG y periodistas.

Para llevar a cabo sus ataques, Charming Kitten utiliza tácticas de ingeniería social, como involucrar a los objetivos en conversaciones prolongadas por correo electrónico antes de enviar enlaces a contenido malicioso. Según los investigadores, el grupo ha desplegado varias otras puertas traseras en el último año, como PowerLess, BellaCiao, POWERSTAR (también conocido como GorjolEcho) y NokNok, enfatizando su determinación de continuar sus actividades cibernéticas y adaptarse a pesar de la exposición pública.

En los recientes ataques de phishing observados entre septiembre y octubre de 2023, los operadores de Charming Kitten se hicieron pasar por el Instituto Internacional de Estudios Iranianos Rasanah (IIIS) para construir la confianza de los objetivos. Los intentos de phishing también se caracterizan por el uso de cuentas de correo electrónico comprometidas pertenecientes a contactos legítimos y múltiples cuentas de correo electrónico controladas por actores de amenazas, lo que se llama Impersonación Multipersona (MPI).

Los mensajes instan a los objetivos potenciales a unirse a un seminario web sobre temas de su interés, después de lo cual se usa un archivo RAR que contiene archivos de acceso directo de Windows (LNK) para distribuir malware y desencadenar una secuencia de infección de varias etapas que despliega BASICSTAR y KORKULOADER. Además, algunos de estos ataques de phishing están diseñados para servir diferentes puertas traseras según el sistema operativo de la máquina.

Los investigadores también han descubierto que el IRGC, con el que se cree que está afiliado Charming Kitten, ha utilizado una red de empresas contratistas para apuntar a países occidentales y exportar tecnologías para fines de vigilancia y ofensivos. Las empresas contratistas iraníes incluyen Ayandeh Sazan Sepher Aria, DSP Research Institute, Sabrin Kish, Soroush Saman, Mahak Rayan Afraz y la Compañía de Telecomunicaciones y Electrónica Parnian.

En resumen, el actor de amenazas de origen iraní conocido como Charming Kitten ha sido relacionado con una nueva serie de ataques dirigidos a expertos en política de Oriente Medio a través de una nueva puerta trasera llamada BASICSTAR. El grupo ha utilizado tácticas de ingeniería social, incluyendo conversaciones prolongadas por correo electrónico antes de enviar enlaces a contenido malicioso. Los investigadores también descubrieron que el IRGC ha utilizado una red de empresas contratistas para apuntar a países occidentales y exportar tecnologías para fines de vigilancia y ofensivos.

Vía The Hacker News