Home Ciberguerra Ciberdelincuentes iraníes, se dirigen de nuevo a universidades de todo el mundo

Ciberdelincuentes iraníes, se dirigen de nuevo a universidades de todo el mundo

Un grupo de APT, apoyado por el Estado iraní, conocido por su orientación hacia las universidades para la obtención de material de investigación, ha sido detectado en una nueva campaña que coincide con el inicio del nuevo año académico.

El Bibliotecario Silencioso (alias TA407, Cobalt Dickens) está una vez más extendiendo la red geográficamente. Ha registrado sitios de phishing para las universidades en: Australia (Victoria, Adelaida y Melbourne Victoria), el Reino Unido (Glasgow Caledonian, King’s College London, Bristol, Cambridge y otras), los EE.UU. (Norte de Texas, McGill, Stony Brook), Singapur (Nanyang Technological), Canadá (Western, Toronto) y en Suecia, Alemania y los Países Bajos.

Utilizando un patrón similar al observado en campañas anteriores, el grupo mantiene la mayor parte del dominio intacto pero simplemente intercambia el TLD, lo que puede suceder si las organizaciones no registran defensivamente suficientes variantes.

Aunque el Bibliotecario Silencioso está usando Cloudflare para ocultar la verdadera ubicación de sus servidores, Malwarebytes dijo que fue capaz de identificar varios con base en Irán.

“Puede parecer extraño que un atacante utilice la infraestructura de su propio país, posiblemente señalándolos con el dedo”, escribió el Equipo de Inteligencia de Amenazas de la firma en una entrada de blog. “Sin embargo, aquí simplemente se convierte en otra opción de alojamiento a prueba de balas basada en la falta de cooperación entre las fuerzas del orden de EE.UU. o Europa y la policía local de Irán”.

Advirtió que aunque los sitios están siendo retirados lo más rápido posible, el grupo ha acumulado un número considerable para continuar su campaña de phishing sin disminuir.

“Los administradores de TI que trabajan en las universidades tienen un trabajo particularmente duro considerando que sus clientes, es decir, estudiantes y profesores, están entre los más difíciles de proteger debido a su comportamiento. A pesar de ello, también contribuyen y acceden a investigaciones que podrían valer millones o miles de millones de dólares”, indicó Malwarebytes.

El Bibliotecario Silencioso ha sido visto en 2018 y 2019 realizando ataques similares.