El gobierno de EE. UU. impuso el jueves amplias sanciones contra un actor de amenazas iraní respaldado por el Ministerio de Inteligencia y Seguridad del país (MOIS) por llevar a cabo campañas de malware dirigidas a disidentes iraníes, periodistas y empresas internacionales en los sectores de telecomunicaciones y viajes.

Según el Tesoro de EE. UU. y la Oficina Federal de Investigaciones (FBI), las sanciones apuntan a Rana Intelligence Computing Company (o Rana), que según las agencias operaba como fachada del grupo de amenazas APT39 (también conocido como Chafer o Remix Kitten), cibernético iraní colectivo de piratería de espionaje activo desde 2014 conocido por sus ataques a empresas en los EE. UU. y el Medio Oriente con el objetivo de robar información personal y promover los objetivos de seguridad nacional de Irán.

En ese sentido, 45 personas que desempeñaron diversas funciones mientras trabajaban en la empresa fachada, incluso como gerentes, programadores y expertos en piratería informática, han sido implicadas en las sanciones, que también prohíben a las empresas estadounidenses hacer negocios con Rana y sus empleados.

«Enmascarado detrás de su empresa fachada, Rana Intelligence Computing Company (Rana), el Ministerio de Inteligencia y Seguridad (MOIS) del Gobierno de Irán ha empleado una campaña de malware de años de duración que apuntó y monitoreó a ciudadanos iraníes, disidentes y periodistas, las redes gubernamentales de los países vecinos de Irán y organizaciones extranjeras en los sectores de viajes, académicos y de telecomunicaciones”, dijo el FBI.

También se cree que Rana apuntó a empresas del sector privado iraní e instituciones académicas, incluidos centros culturales y de lengua persa dentro y fuera del país.

Larga historia de actividades de espionaje de APT39

APT39 tiene un historial de piratería en objetivos que abarcan más de 30 países en el Medio Oriente, África del Norte y Asia Central, y al menos 15 empresas estadounidenses en el sector de viajes se han visto comprometidas por el malware de Rana, utilizando el acceso no autorizado para rastrear los movimientos de individuos a quienes MOIS consideraba una amenaza.

A principios de mayo, Bitdefender descubrió dos ataques cibernéticos dirigidos contra infraestructuras críticas en Kuwait y Arabia Saudita, comprometiendo a sus víctimas a través de correos electrónicos de phishing selectivo que contenían archivos adjuntos maliciosos y utilizando varias herramientas de intrusión para obtener un punto de apoyo inicial y recopilar datos confidenciales de los sistemas infectados.

Además de conectar formalmente las actividades de APT39 con Rana, el FBI detalló ocho conjuntos separados y distintos de malware previamente no revelados utilizados por el grupo para llevar a cabo sus actividades de reconocimiento e intrusión informática, que se componen de:

• Documentos de Microsoft Office enlazados con malware Visual Basic Script (VBS) enviados a través de técnicas de ingeniería social
• Scripts maliciosos de malware AutoIt incrustados en documentos de Microsoft Office o enlaces maliciosos
• Dos versiones diferentes de malware BITS para agregar y filtrar datos de víctimas a una infraestructura controlada por actores
• Una utilidad de captura de pantalla y registro de teclas que se hizo pasar por el navegador Mozilla Firefox legítimo
• Un descargador basado en Python para traer archivos maliciosos adicionales a la máquina de la víctima desde un servidor de comando y control (C2)
• Un implante de Android («optimizer.apk») con capacidades de robo de información y acceso remoto
• Malware «Depot.dat» para recopilar capturas de pantalla y capturar pulsaciones de teclas y transmitir la información a un servidor remoto bajo su control

Una serie de cargos contra piratas informáticos iraníes

Las sanciones contra APT39 son las últimas de una serie de acciones emprendidas por el gobierno de EE. UU. en los últimos días contra Irán, que también incluyen cargos contra tres piratas informáticos por participar en una campaña coordinada de robo de identidad y piratería en nombre de la Guardia Revolucionaria Islámica de Irán. Corps (IRGC) para robar información crítica relacionada con las empresas de tecnología aeroespacial y satelital de EE. UU.

Por último, pero no menos importante, la Agencia de Seguridad de Infraestructura y Seguridad Cibernética (CISA) advirtió sobre un actor cibernético malicioso con sede en Irán que se dirige a varias agencias federales de EE. UU. al explotar vulnerabilidades de VPN sin parches para acumular datos confidenciales e incluso vender acceso a la infraestructura de red comprometida foro de hackers

«La revelación de las acusaciones y otras acciones disruptivas de esta semana sirve como otro recordatorio de la amplitud y profundidad de las actividades cibernéticas maliciosas iraníes dirigidas no solo a los Estados Unidos, sino a países de todo el mundo», John C. Demers, Secretario de Justicia Auxiliar de Seguridad Nacional. , dijo en un comunicado.

“Ya sea dirigiendo tales actividades de piratería u ofreciendo un refugio seguro para los piratas informáticos criminales iraníes, Irán es cómplice de atacar a víctimas inocentes en todo el mundo y está profundizando su estatus como estado canalla”.