Un grupo de ciberespionaje iraní llamado Mind Sandstorm está atacando individuos de alto perfil que trabajan en asuntos del Medio Oriente en universidades y organizaciones de investigación en Bélgica, Francia, Gaza, Israel, el Reino Unido y los EE. UU. Microsoft ha identificado al grupo como un «subgrupo técnicamente y operativamente maduro de Mind Sandstorm». Su campaña utiliza señuelos de phishing personalizados para engañar a las posibles víctimas y descargar archivos maliciosos. Mint Sandstorm, también conocido como APT35, Charming Kitten, TA453 y Yellow Garuda, utiliza cuentas legítimas comprometidas para enviar correos electrónicos de phishing personalizados a objetivos potenciales.
El subgrupo se dedica a la ingeniería social intensiva para identificar a periodistas, investigadores, profesores y otras personas con conocimientos sobre temas de seguridad y políticas que interesan a Teherán. El objetivo de la campaña es recopilar información sobre los eventos relacionados con la guerra entre Israel y Hamas.
Microsoft sospecha que la campaña es un esfuerzo del actor de amenazas estatal para recopilar perspectivas sobre los eventos relacionados con la guerra. Además, el grupo ha implementado nuevas tácticas para evadir la detección, como el uso de cuentas comprometidas. Si las víctimas se conectan con el actor de amenazas, se les envía un correo electrónico de seguimiento que contiene un enlace malicioso que conduce a la recuperación de scripts de Visual Basic del servidor de C2 para persistir en los entornos de las víctimas.
La campaña de Mind Sandstorm puede tener consecuencias graves para la confidencialidad y seguridad de los sistemas comprometidos. La divulgación de esta información se produce después de la revelación de que el ingeniero holandés reclutado por los servicios de inteligencia de EE. UU. y de Israel, Erik van Sabben, puede haber utilizado una bomba de agua para implementar una variante temprana del malware Stuxnet en una instalación nuclear iraní en algún momento de 2007.
Para combatir las amenazas de ciberespionaje, es importante que las organizaciones fortalezcan sus defensas y eduquen a su personal sobre las mejores prácticas de seguridad cibernética. Además, es esencial que las empresas cuenten con soluciones de seguridad que puedan detectar y responder a las amenazas de ciberseguridad en tiempo real. Si bien el mundo sigue lidiando con la pandemia de COVID-19, es imperativo que las empresas no descuiden la seguridad de sus sistemas y datos críticos.
