Al menos en 2015, se descubrió que los actores de amenazas con vínculos sospechosos con Irán usaban mensajería instantánea y aplicaciones VPN como Telegram y Psiphon para instalar un troyano de acceso remoto (RAT) de Windows capaz de robar información confidencial de los dispositivos de destino.
La empresa rusa de ciberseguridad Kaspersky, que reunió esta actividad, atribuyó la campaña al Advanced Persistent Threat Group (APT), al que supervisa como Ferocious Kitten, un grupo que identificó a personas de habla persa supuestamente radicadas en el país y operando con éxito bajo el radar. . .
«Apuntar a Psiphon y Telegram, que son muy populares en Irán, subraya el hecho de que la carga útil se ha desarrollado para apuntar a los usuarios iraníes», dijo el equipo de investigación y análisis global de Kaspersky (GReAT).
“Además, el cebo que mostraban los archivos maliciosos a menudo usaba temas políticos e incluía imágenes o videos de bases de resistencia o ataques contra el régimen iraní, lo que sugiere que el ataque está dirigido a posibles partidarios de tales movimientos en el país”.
Los hallazgos de Kaspersky se basan en dos documentos de armas que se cargaron en el servidor VirusTotal en julio de 2020 y marzo de 2021, que contienen macros que, cuando están habilitadas, reducirán la carga útil en la siguiente fase para el despliegue de un nuevo implante. markirat.
La puerta trasera brinda a los oponentes un amplio acceso a la información personal de la víctima, incluidas funciones para grabar pulsaciones de teclas, capturar contenido del portapapeles, descargar y cargar archivos, así como la capacidad de ejecutar cualquier comando en la computadora de la víctima.
En un esfuerzo por expandir su arsenal, los atacantes también experimentaron con varias variantes de MarkiRat, que se encontraron para capturar aplicaciones como Google Chrome y Telegram, para lanzar malware y mantenerlo permanentemente anclado en la computadora. el tiempo también hace que la detección o eliminación sea significativamente más difícil. Uno de los artefactos descubiertos también contiene una versión de puerta trasera de Psiphon; Una herramienta VPN de código abierto que se usa a menudo para evitar la censura en Internet.
Otra variante reciente implica un descargador simple que carga un archivo ejecutable desde un dominio codificado, y los investigadores señalaron que «el uso de este patrón es diferente de los utilizados por el grupo en el pasado, cuando el malware eliminó la carga útil». , lo que sugiere que el grupo puede estar en proceso de cambiar algunos de sus TTP».
Además, según se informa, la infraestructura de comando y control alojaba aplicaciones de Android en forma de archivos DEX y APK, lo que aumenta la posibilidad de que el actor de amenazas esté desarrollando simultáneamente malware dirigido a usuarios móviles.
Curiosamente, las tácticas adoptadas por el adversario se superponen con otros grupos que operan contra objetivos similares, como el gatito doméstico y el gatito descontrolado, con Kaspersky encontrando paralelismos en la forma en que el actor usó el mismo conjunto de servidores C2 durante mucho tiempo y trató de reunir información del administrador de contraseñas de KeePass.
«Ferocious Kitten es un ejemplo de un actor que opera en un ecosistema más amplio que tiene como objetivo rastrear a las personas en Irán», concluyeron los investigadores. «Dichos grupos de amenazas no parecen estar cubiertos con tanta frecuencia y, por lo tanto, pueden escapar de la reutilización ocasional de la infraestructura y los conjuntos de herramientas sin tener que preocuparse de que las soluciones de seguridad los eliminen o identifiquen».
