Home Ciberguerra APT Charming Kitten, vinculado a Irán, contacta con los objetivos a través...

APT Charming Kitten, vinculado a Irán, contacta con los objetivos a través de WhatsApp, LinkedIn

En julio de 2020, la empresa israelí Clearsky Security identificó un nuevo TTP del grupo (Charming Kitten), haciéndose pasar por “Deutsche Welle” y el “Jewish Journal”, utilizando los correos electrónicos junto con los mensajes de WhatsApp como su principal plataforma para acercarse al objetivo y convencerles de que abran un enlace malicioso”.

Según los investigadores de seguridad, el grupo “Charming Kitten APT” vinculado a Irán está utilizando WhatsApp y LinkedIn para llevar a cabo ataques de spear-phishing dirigidos a sectores gubernamentales, de tecnología de defensa, militar y diplomático.

Los piratas informáticos iraníes siguen centrándose en instituciones privadas y gubernamentales, centros de investigación e instituciones académicas, organizaciones con vínculos con la comunidad bahaí y muchas otras en países europeos, los Estados Unidos, el Reino Unido y Arabia Saudita.

Anteriormente, también “CharmingKitten” (también conocido como APT35, Parastoo, NewsBeef y Newscaster) estuvo vinculado a una serie de campañas encubiertas con el objetivo de robar información delicada de activistas de derechos humanos, investigadores académicos y medios de comunicación.

El abrevadero -en este caso, un enlace malicioso incrustado en el dominio comprometido de la Deutsche Welle- proporcionó el malware roba-información a través de WhatsApp, pero no antes de que las víctimas fueran abordadas por primera vez a través de métodos de ingeniería social de probada eficacia con la intención de atraer a los académicos para que hablaran en un seminario web online.

 

“La correspondencia comenzó con un correo electrónico enviado al objetivo, iniciando una conversación”, explicó Clearsky. “Tras una breve conversación con el objetivo, el atacante del “Gatito encantador” solicita trasladar la conversación a WhatsApp. Si el objetivo se niega a pasar a WhatsApp, el atacante enviará un mensaje a través de un perfil LinkedIn falso”.

Los ataques de phishing descubiertos recientemente por el “Gatito encantador” están en consonancia con actividades anteriores realizadas por el grupo. Certfa especula que el grupo APT está trabajando en el desarrollo de una serie de malware para su futura campaña de ataques de phishing.