El grupo de ciberdelincuentes Charming Kitten, presuntamente vinculado con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC), un brazo de inteligencia del ejército de Irán, suele centrar sus campañas en extraer información e inteligencia de datos para los líderes de Teherán, según señalamos el pasado mes de enero. Entonces, Charming Kitten estaba llevando ataques contra expertos de alto perfil en temas de Oriente Medio, tal como reveló Microsoft en un informe en el que advertía que la pandilla, subgrupo de Mint Sandstorm y también conocida como APT35 y APT453, se ha prodigado con "campañas de ingeniería social que requieren un uso intensivo de recursos", y continuaba "mejorando y modificando las herramientas utilizadas en los entornos de los objetivos".
Ahora, un nuevo informe de la compañía de ciberseguridad Proofpoint revela que Charming Kitten ha desarrollado una nueva estrategia en un ataque dirigido a una "importante figura religiosa". Su objetivo era distribuir un nuevo conjunto de herramientas de BlackSmith, que a su vez entregaba un troyano PowerShell denominado AnvilEcho. Este malware, que utiliza técnicas de cifrado y comunicación en red similares a las muestras del grupo observadas anteriormente por Proofpoint, está diseñado para la recopilación y extracción de información.
Según detalla el informe, a finales del pasado mes de julio, APT453 se puso en contacto con varias direcciones de correo electrónico asociadas a la personalidad religiosa, de la que solo dice que es judía. Para tratar de captar su atención y comenzar a ganarse su confianza, los hackers se hicieron pasar por el director de investigación del prestigioso think tank de Estados Unidos Institute for the Study of War (ISW), quien supuestamente le proponía participar como invitado en uno de los podcasts de ISW.
La víctima respondió a la invitación y obviamente el grupo no se quedó parado, aunque dio un paso más antes de desplegar el set de herramientas BlackSmith. Su siguiente movimiento fue contestar a la eminencia judía enviándole un enlace a través de la plataforma DocSend, protegido por contraseña, que conducía a un archivo de texto que contenía una URL del podcast legítimo de ISW. "Es probable que TA453 estuviera intentando normalizar que el objetivo hiciera clic en un enlace e ingresara una contraseña para que volviera a hacer lo mismo cuando le enviaran malware", apuntan desde Proofpoint,.
Tras otra respuesta de la víctima, el TA453 contestó con una URL de Google Drive que llevaba a un archivo llamado "Podcast Plan-2024.zip". El ZIP contenía un LNK titulado "Podcast Plan 2024.lnk", que a su vez contenía el conjunto de herramientas BlackSmith, que cargaba el troyano AnvilEcho.
"Nuestro análisis del malware de esta campaña del grupo TA453 nos hace pensar que los desarrolladores que trabajan para ellos no han renunciado a usar 'backdoors' modulares en PowerShell. Su objetivo sigue siendo complicar la cadena de infección para evitar las detecciones mientras recopilan información", indica el informe. "El conjunto de herramientas observado en esta cadena de infección es probablemente el sucesor de GorjolEcho/PowerStar, TAMECURL, MischiefTut y CharmPower. Llevamos detectando 'backdoors' de este grupo desde 2021, la única novedad es que ahora intentan agrupar todo en un único script de PowerShell de gran tamaño que hemos denominado AnvilEcho", añade.
Respecto a AnvilEcho, Proofpoint declara que consta de múltiples funciones, muchas de las cuales son similares o están mejoradas con respecto a los módulos de malware utilizados anteriormente por Charming Kitten. Además, advierte que el script, de aproximadamente 2200 líneas de PowerShell, establece una serie de funciones para cifrar, codificar y filtrar información, y termina con las dos funciones de nivel superior de Redo-It y Do-It.
Aunque los investigadores de la compañía no han podido vincular directamente al TA453 con los miembros del Cuerpo de la Guardia Revolucionaria Islámica (IRGC), sí consideran que actúan en apoyo de sus intereses y de los del gobierno iraní. En la actualidad, Proofpoint considera que el TA453 se superpone con Mint Sandstorm de Microsoft (anteriormente PHOSPHORUS) y es el equivalente a APT42 de Mandiant y Yellow Garuda de PWC, todos los cuales pueden denominarse Charming Kitten.
"TA453 utiliza muchas técnicas diferentes de ingeniería social para tratar de convencer a los objetivos de que interactúen con contenido malicioso. Al igual que la suplantación de múltiples personalidades, el envío de enlaces legítimos a un objetivo y la referencia a un podcast real de la organización pueden generar confianza en el usuario. Cuando un actor de amenazas establece una relación a largo plazo con un objetivo antes de entregar la carga maliciosa, aumenta sus probabilidades de éxito", subraya el informe en un apartado en el que pone en valor sus hallazgos.
"Con BlackSmith, el TA453 ha creado un sofisticado conjunto de herramientas de recopilación de información y ha racionalizado sus funciones de malware, pasando de ser un conjunto de diferentes scripts individuales a un completo troyano PowerShell", apunta.