La firma Insikt Group se ha topado con un incremento significativo en la actividad de ciberamenazas llevadas a cabo por GreenCharlie, un grupo vinculado a Irán y que tiene conexiones con Mint Sandstorm, Charming Kitten y APT42.
La banda ataca a entidades gubernamentales, funcionarios de campañas políticas y activos estratégicos de EE.UU.
En los últimos meses distintos organismos y empresas de EE.UU. vienen denunciando la injerencia iraní en la campaña electoral del país norteamericano. Es probable que estas campañas sigan utilizando tácticas de piratería y filtración destinadas a debilitar o apoyar a candidatos políticos, influir en el comportamiento de los votantes y fomentar la discordia.
El grupo se sirve de operaciones de phishing sofisticadas y malware como Gorble y Powerstar. Ambas son variantes de la misma familia de malware, diseñadas para permitir la actividad de espionaje a través de campañas de phishing selectivo.
Esta amenaza sigue un proceso de infección de varias etapas. Tras el acceso inicial a través de phising el malware establece comunicación con servidores de comando y control (C2), permitiendo a los atacantes extraer datos o entregar cargas útiles adicionales.
La infraestructura del grupo está diseñada meticulosamente y utiliza proveedores de DNS dinámico (DDNS) como Dynu, DNSEXIT y Vitalwerks para registrar dominios utilizados en ataques de phishing.
Dichos dominios suelen emplear temas engañosos relacionados con servicios en la nube, uso compartido de archivos y visualización de documentos para inducir a los objetivos a revelar información confidencial o descargar archivos maliciosos.
Buscando la discrección
Insikt Group lleva siguiendo la pista a esta pandilla desde junio. La inteligencia de red de Recorded Future ha identificado múltiples direcciones IP con sede en Irán que se comunican con la infraestructura de GreenCharlie. El uso de ProtonVPN y ProtonMail indica, además un intento de ocultar las actividades del grupo, una táctica común entre las APT iraníes.
Desde mayo esta banda ha registrado numerosos dominios, muchos de los cuales seguramente se utilicen para actividades de phishing.