La empresa de ciberseguridad Check Point ha encontrado que tras ciertos ataques destructivos de limpieza se encuentra un actor de amenazas de origen iraní afiliado al Ministerio de Inteligencia y Seguridad (MOIS) del país.
Estos cibermalos serían los responsables ciberataques contra Albania e Israel a los que se ha denominado Homeland Justice (Justicia Nacional) y Karma, respectivamente.
En la primera operación, que se lleva a cabo desde julio de 2022, se ha usado un wiper o malware de limpieza personalizado llamado Ci-Wiper y No-Justice (también conocido como LowEraser).
En la segunda se han identificado igualmente ataques de malware wiper dirigidos a sistemas Windows y Linux en Israel tras la guerra entre Israel y Hamás después de octubre de 2023.
La firma de seguridad está rastreando la actividad del grupo bajo el nombre de Void Manticore, que también ha sido 'bautizado' por Microsoft como Storm-0842 (antes DEV-0842).
Se sospecha que Void Manticore utiliza el acceso obtenido previamente por Scarred Manticore (también conocido como Storm-0861) para llevar a cabo sus propias intrusiones, lo que subraya un procedimiento de "traspaso" entre los dos actores de amenazas.
"Existen claras superposiciones entre los objetivos de Void Manticore y Scarred Manticore , con indicios de transferencia sistemática de objetivos entre esos dos grupos cuando deciden llevar a cabo actividades destructivas contra las víctimas existentes de Scarred Manticore", explican desde Check Point en un informe.
Ataques simples y directos
Este grupo de amenazas persistentes avanzadas (APT) se sirve de cadenas de ataques "directas y simples" y suelen aprovechar herramientas disponibles públicamente. Se mueven de manera lateral antes de la implementación del malware.
En algunos casos, logran el acceso inicial mediante la explotación de brechas de seguridad conocidas en aplicaciones conectadas a Internet (por ejemplo, CVE-2019-0604 ), según un aviso publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en septiembre de 2022.
"Las superposiciones en las técnicas empleadas en los ataques contra Israel y Albania, incluida la coordinación entre los dos diferentes actores, sugieren que este proceso se ha vuelto rutinario", asevera Check Point.
"Las operaciones de Void Manticore se caracterizan por su doble enfoque, que combina la guerra psicológica con la destrucción real de datos. Esto se logra mediante el uso de ataques de limpieza y la filtración pública de información, amplificando así la destrucción de las organizaciones objetivo", concluye.