Un informe reciente de Mandiant, una filial de Google Cloud, reveló que el grupo de hackers iraní APT42 está utilizando tácticas mejoradas de ingeniería social para infiltrarse en redes y entornos en la nube. Entre los objetivos del ataque se encuentran ONG occidentales y de Oriente Medio, organizaciones mediáticas, académicas, servicios legales y activistas.
APT42, también conocido como Damselfly y UNC788, es un grupo cibernético respaldado por el estado iraní. Documentado por primera vez en septiembre de 2022, APT42 es un subconjunto de APT35, afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán, con operaciones de recopilación de información y vigilancia.
En comparación, el grupo APT35 se enfoca en ataques a largo plazo con malware dirigido a organizaciones en EE. UU. y Oriente Medio, mientras que APT42 se dirige a individuos y organizaciones específicas relacionadas con la política interna, exterior y la estabilidad del régimen iraní.
Por su parte, Charming Kitten, un subgrupo de APT35, ha sido atribuido a extensas operaciones de recolección de credenciales dirigidas a universidades y organizaciones de investigación en Bélgica, Francia, Gaza, Israel, Reino Unido y EE. UU. desde noviembre de 2023.
Los métodos utilizados por APT42, como la ingeniería social mejorada, eludir la autenticación multifactor y el uso de backdoors personalizados como NICECURL y TAMECAT, dejan huellas mínimas, lo que dificulta la detección y mitigación de sus actividades por parte de los defensores de red.
Vía The Hacker News