El actor de amenazas patrocinado por el estado supuestamente vinculado a Irán ha sido vinculado a una serie de ataques dirigidos a proveedores de servicios de Internet (ISP) y operadores de telecomunicaciones en Israel, Marruecos, Túnez y Arabia Saudita, así como al Ministerio de Asuntos Exteriores (MFA) en África.

Se espera que las intrusiones protagonizadas por el grupo Lyceum hayan ocurrido entre julio y octubre de 2021, según los investigadores de Accenture Cyber ​​Threat Intelligence (ACTI) y Adversarial Counterintelligence Team (PACT) de Prevailion. Los nombres de las víctimas no fueron revelados.

Las últimas revelaciones arrojan luz sobre más de 20 de la infraestructura web de Lyceum, identificando «más víctimas y brindando más información sobre la metodología de focalización de Lyceum», dijeron los investigadores, y agregaron «al menos dos de las compensaciones identificadas». se evalúan como continuos a pesar de la publicación previa de indicadores de compromiso».

Lyceum (también conocido como Hexane o Spirlin), que se cree que está activo desde 2017, es conocido por centrarse en sectores de importancia nacional estratégica para el espionaje cibernético, mientras mejora su arsenal con nuevos implantes y amplía sus objetivos a proveedores de servicios de Internet y agencias gubernamentales. . El malware nuevo y actualizado y el TTP han permitido que el grupo de piratas informáticos lance ataques contra dos entidades en Túnez, dijo el mes pasado la compañía rusa de seguridad cibernética Kaspersky.

Tradicionalmente, se ha observado que el actor de amenazas utiliza el relleno de credenciales y los ataques de fuerza bruta como vectores iniciales del ataque para obtener credenciales de cuenta y afirmarse en las organizaciones objetivo, utilizando un enfoque de trampolín para lanzar y lanzar herramientas después del abuso.

Dos familias diferentes de malware, llamadas Shark y Milan (llamadas «James» por Kaspersky), son los principales implantes desplegados por el actor de amenazas, cada una de las cuales permite la ejecución de comandos arbitrarios y el filtrado de datos confidenciales de sistemas infectados a un control remoto. atacante: un servidor administrado.

ACTI y PACT también informaron que a fines de octubre de 2021, ubicaron una baliza de una puerta trasera Lyceum reconfigurada o potencialmente nueva de una compañía de telecomunicaciones en Túnez y MFA en África, lo que sugiere que los operadores están actualizando activamente sus puertas traseras a la luz de información reciente y intentos de eludir la detección del software de seguridad.

«Es probable que el Lyceum continúe usando las puertas traseras de Shark y Milan, aunque con algunas modificaciones, ya que el grupo probablemente pudo mantener el apoyo en las redes de las víctimas a pesar de las revelaciones públicas. [indicators of compromise] asociados con sus operaciones «, dijeron los científicos.