Un grupo de espionaje cibernético de Irán-Nexus conocido como UNC1549 se ha atribuido a una nueva campaña dirigida a compañías de telecomunicaciones europeas, infiltrando con éxito 34 dispositivos en 11 organizaciones como parte de una actividad temática de reclutamiento en LinkedIn.
La compañía suiza de ciberseguridad ProDaft está rastreando el clúster bajo el nombre Caracol. Se evalúa estar afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). Las 11 empresas específicas se encuentran en Canadá, Francia, los Emiratos Árabes Unidos, el Reino Unido y los Estados Unidos.
«El grupo opera haciéndose pasar por representantes de recursos humanos de entidades legítimas para involucrar a los empleados, luego los compromete a través del despliegue de una variante de puerta trasera minibike que se comunica con la infraestructura de comando y control (C2) proxeduas a través de servicios de nube de Azure para evitar la detección», la compañía «, la compañía», la compañía «, la compañía», la compañía «, la compañía», la compañía «, la compañía», la compañía «, la compañía», la compañía «, la compañía», la compañía «, la compañía» dicho En un informe compartido con The Hacker News.
UNC1549 (también conocido como TA455), que se cree que es activo desde al menos junio de 2022, comparte superposiciones con otros dos grupos de piratería iraní conocidos como tormenta de arena de humo y tormenta de arena carmesí (también conocida como Imperial Kitten, TA456, Tortoiseshell y Yellow Liderc). El actor de amenaza fue Primero documentado por Google, propiedad de Mandiant en febrero de 2024.
El uso de señuelos con temática de trabajo por UNC1549 fue posteriormente detallado por la compañía israelí de ciberseguridad Clearsky, que destacó la orientación del adversario de la industria aeroespacial desde septiembre de 2023 para ofrecer familias de malware como Snailresin y Slugresin.
«La motivación principal del grupo implica infiltrarse en las entidades de telecomunicaciones al tiempo que mantiene interés en las organizaciones aeroespaciales y de defensa para establecer la persistencia a largo plazo y exfiltrar datos sensibles a fines de espionaje estratégicos», dijo Profaft.
Las cadenas de ataques implican un amplio reconocimiento en plataformas como LinkedIn para identificar al personal clave dentro de las organizaciones objetivo, centrándose específicamente en investigadores, desarrolladores y administradores de TI con acceso elevado a sistemas críticos y entornos de desarrolladores.
En la siguiente fase, se ha observado que los actores de amenaza envían correos electrónicos de phishing de lanza para validar las direcciones de correo electrónico y recopilar información adicional antes de promulgar la parte crucial de la operación: la unidad de reclutamiento falsa.
Para lograr esto, los atacantes establecieron perfiles de cuenta de recursos humanos convincentes en LinkedIn y alcanzan los posibles objetivos con oportunidades de trabajo inexistentes, creando gradualmente confianza y credibilidad para aumentar la probabilidad de éxito del esquema. La campaña se caracteriza por los esfuerzos meticulosos de los operadores sutiles de caracol para adaptar el ataque para cada víctima.
Si la víctima expresa interés en la oferta, se contactan posteriormente por correo electrónico para programar una hora para una entrevista haciendo clic en un dominio fraudulento que imita a compañías como Telespazio o Safran Group. Entrando la información necesaria desencadena automáticamente la descarga de un archivo zip.
Present within the ZIP file is an executable that, once launched, uses DLL side-loading to launch a malicious DLL named MINIBIKE, which then gathers system information and awaits additional payloads in the form of Microsoft Visual C/C++ DLLs to conduct reconnaissance, log keystrokes and clipboard content, steal Microsoft Outlook credentials, collect web browser data from Google Chrome, Brave, and Microsoft Edge, and take capturas de pantalla.
El Stealer del navegador web, en particular, incorpora una herramienta pública disponible llamada Chrome-app-bound-cifrado-descryción para pasar por alto Protecciones de cifrado de la aplicación Rolumido por Google para descifrar y robar contraseñas almacenadas en el navegador.
«El equipo sutil de caracol construye e implementa una DLL específica de la víctima y única en la máquina cada vez, incluso para recopilar información de configuración de red de dispositivos», señaló ProDaft. «Los archivos DLL maliciosos utilizados por el actor de amenazas exhiben características similares en la sección de exportación».
«Los archivos DLL legítimos se modifican para facilitar una ejecución perfecta de un ataque de carga lateral de DLL, donde los nombres de funciones se sustituyen con variables de cadena directa. Esta táctica permite al atacante evitar los mecanismos de detección típicos manipulando la tabla de exportación de la DLL, lo que hace que aparezca como un archivo legítimo mientras realiza actividades maliciosas».
Minibike es una puerta trasera modular y modular con soporte para 12 comandos distintos para facilitar la comunicación de C2, lo que le permite enumerar archivos y directorios, enumerar los procesos y terminar los específicos, cargar archivos en trozos, así como ejecutar las cargas de pago EXE, DLL, BAT o CMD.
Además de combinar su tráfico C2 con comunicaciones en la nube regulares al usar servicios legítimos de Azure Cloud y servidores privados virtuales (VPSE) como infraestructura proxy, el malware realiza modificaciones del registro de Windows de manera que se cargue automáticamente después del inicio del sistema.
También presenta técnicas anti-defractación y anti-sandbox para obstaculizar el análisis, y utiliza métodos como aplanamiento de flujo de control y algoritmos de hashing personalizados para resolver las funciones de la API de Windows en tiempo de ejecución en un esfuerzo por resistir la ingeniería inversa y dificultar la comprensión de su funcionalidad general.
«Las operaciones sutiles de caracol causan daños graves al combinar la recopilación de inteligencia con acceso a largo plazo a redes de telecomunicaciones críticas», dijo Productft. «No solo infectan dispositivos; buscan activamente datos confidenciales y formas de mantener vivo su acceso».
«Utilizan rutas predefinidas para guiar sus búsquedas y se centran en robar correos electrónicos, configuraciones de VPN y otra información que les ayude a mantener el control. También buscan archivos confidenciales almacenados en carpetas compartidas, que pueden exponer secretos comerciales y datos personales».
El conjunto de herramientas diversificado de Muddywater expuesto
La divulgación se produce como grupo de ib luz de cobertizo en el conjunto de herramientas de infraestructura y malware de otro grupo de piratería patrocinado por el estado iraní conocido como Agua fangosaque ha reducido «significativamente» su dependencia en herramientas de monitoreo y administración remota (RMM) a favor de las puertas y herramientas a medida como –
- Bugsleep (Visto por primera vez en mayo de 2024), una puerta trasera basada en Python diseñada para ejecutar comandos y facilitar las transferencias de archivos
- Liteinject (Visto por primera vez en febrero de 2025), un inyector ejecutable portátil
- Piloteo (Visto por primera vez en marzo de 2025), una puerta trasera rica en características con capacidades para leer/escribir archivos, terminar o reiniciarse, escanear procesos de seguridad y robar credenciales y archivos
- Amante (Visto por primera vez en marzo de 2025), un cargador capaz de cargar, descifrar y ejecutar una carga útil cifrada en la memoria
- Fénix (Visto por primera vez en abril de 2025), un malware que se usa para implementar una variante despojada de Bugsleep
- Cañónuna herramienta maliciosa diseñada para el control remoto de los sistemas comprometidos
- Udpgangsteruna puerta trasera básica que se comunica con su servidor C2 sobre el protocolo UDP
Muddywater, activo desde 2017, se evalúa como un elemento subordinado dentro del Ministerio de Inteligencia y Seguridad de Irán (MOI). También rastreado como serpens pantanosos, tormenta de arena de mango y TA450, el actor de amenaza tiene una historia de dirigir las entidades de infraestructura de telecomunicaciones, gobierno, energía, defensa e infraestructura críticas en el Medio Oriente, con un nuevo aumento en los ataques dirigidos a Europa y Estados Unidos.
«Actividad reciente muestra que todavía dependen del phishing para la entrega, aprovechando a Maldocs con macros maliciosas para la infección. El análisis de infraestructura ha revelado el uso activo de los servicios web de Amazon (AWS) para alojar activos maliciosos y los servicios de manchas de nubes se han aprovechado para ocultar las hilabes de infraestructura e impedir el análisis», dijo el investigador del grupo Mansour Alhmoud.
«Las campañas persistentes de Muddywater subrayan su papel en el apoyo a los requisitos de inteligencia iraní al mantener la negación plausible para las operaciones cibernéticas dirigidas por el estado contra los competidores regionales y los objetivos occidentales».
Fuente