Hackers iraníes se hacen pasar por periodistas para impulsar malware

El actor de amenazas respaldado por el estado iraní rastreado como APT42 está empleando ataques de ingeniería social, incluso haciéndose pasar por periodistas, para violar las redes corporativas y los entornos en la nube de objetivos occidentales y de Oriente Medio.


APT42 fue documentado por primera vez por Mandiant en septiembre de 2022, quien informó que los actores de amenazas estaban activos desde 2015, habiendo llevado a cabo al menos 30 operaciones en 14 países.

El grupo de espionaje, que se cree que está afiliado a la Organización de Inteligencia del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC-IO), ha sido observado atacando organizaciones no gubernamentales, medios de comunicación, institutos educativos, activistas y servicios legales.

Los analistas de amenazas de Google que siguen las operaciones de APT42 informan que los piratas informáticos utilizan correos electrónicos maliciosos para infectar a sus objetivos con dos puertas traseras personalizadas, a saber, "Nicecurl" y "Tamecat", que brindan capacidades de ejecución de comandos y exfiltración de datos.

Creación de personajes en línea

Los ataques APT42 se basan en la ingeniería social y el spear-phishing, con el objetivo final de infectar los dispositivos de los objetivos con puertas traseras personalizadas, lo que permite a los actores de amenazas obtener acceso inicial a las redes de las organizaciones.

El ataque comienza con correos electrónicos de personas en línea que se hacen pasar por periodistas, representantes de ONG u organizadores de eventos enviados desde dominios que "typosquat" (usan URL similares) a los de organizaciones legítimas.

{getCard} $type={post} $title={Recomendado}

Las organizaciones de medios suplantadas por APT42 incluyen The Washington Post (EE. UU.), The Economist (Reino Unido), The Jerusalem Post (IL), Khaleej Times (Emiratos Árabes Unidos), Azadliq (Azerbaiyán), y Mandiant afirma que los ataques a menudo usan dominios tipográficos como "washinqtonpost[.] prensa".

Después de que los atacantes intercambian suficiente comunicación para generar confianza con una víctima, envían un enlace a un documento relacionado con una conferencia o un artículo de noticias, según el tema de señuelo seleccionado.


Al hacer clic en los enlaces, los objetivos se dirigen a páginas de inicio de sesión falsas que imitan servicios conocidos como Google y Microsoft o incluso plataformas especializadas pertinentes al campo de trabajo de la víctima.

Estos sitios de phishing recopilan no solo las credenciales de la cuenta de la víctima, sino también sus tokens de autenticación multifactor (MFA).

Después de robar todos los datos necesarios para secuestrar la cuenta de la víctima, los piratas informáticos se infiltran en la red corporativa o en el entorno de la nube y recopilan información confidencial, como correos electrónicos y documentos.

Google informa que para evadir la detección y combinarse con las operaciones normales, APT42 limita sus acciones a las funciones integradas de las herramientas en la nube a las que tiene acceso, borra el historial de Google Chrome después de revisar los documentos y usa direcciones de correo electrónico que parecen pertenecer a la organización víctima para filtrar archivos a cuentas de OneDrive.

Además, APT42 utiliza nodos de ExpressVPN, dominios alojados en Cloudflare y servidores VPS efímeros durante todas las interacciones con el entorno de la víctima, lo que dificulta la atribución.

Malware de puerta trasera personalizado

APT42 utiliza dos puertas traseras personalizadas llamadas Nicecurl y Tamecat, cada una diseñada para funciones específicas dentro de las operaciones de ciberespionaje.

Nicecurl es una puerta trasera basada en VBScript capaz de realizar la ejecución de comandos, descargar y ejecutar cargas útiles adicionales o realizar minería de datos en el host infectado.

Tamecat es una puerta trasera de PowerShell más compleja que puede ejecutar código PS arbitrario o scripts de C#, lo que le da a APT42 mucha flexibilidad operativa para realizar el robo de datos y la manipulación extensa del sistema.

En comparación con Nicecurl, Tamecat ofusca su comunicación C2 con base64, puede actualizar su configuración dinámicamente y evalúa el entorno infectado antes de la ejecución para evadir la detección por parte de las herramientas antivirus y otros mecanismos de seguridad activos.

Ambas puertas traseras se despliegan a través de correos electrónicos de phishing con documentos maliciosos, que a menudo requieren permisos de macro para ejecutarse. Sin embargo, si APT42 ha cultivado la confianza con la víctima, este requisito se convierte en una barrera menor, ya que es más probable que la víctima deshabilite manualmente las funciones de seguridad.

Un malware similar, si no el mismo, fue analizado por Volexity en febrero, que también vinculó los ataques con actores de amenazas iraníes.

La lista completa de indicadores de compromiso (IoC) para la reciente campaña APT42 y las reglas de YARA para detectar el malware NICECURL y TAMECAT se pueden encontrar al final del informe de Google.