Home Ciberguerra Grupo iraní de ciberespionaje apunta a sectores financieros y gubernamentales en Medio...

Grupo iraní de ciberespionaje apunta a sectores financieros y gubernamentales en Medio Oriente

Se ha observado a un actor de amenazas afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS) librando una sofisticada campaña de ciberespionaje dirigida a los sectores financiero, gubernamental, militar y de telecomunicaciones en el Medio Oriente durante al menos un año.

La empresa israelí de ciberseguridad Check Point, que descubrió la campaña junto con Sygnia, está rastreando al actor bajo el nombre de Scarred Manticore, que se dice que se superpone estrechamente con un grupo emergente denominado Storm-0861, uno de los cuatro grupos iraníes vinculados a ataques destructivos contra el Gobierno albanés el año pasado.

Las víctimas de la operación se encuentran en varios países como Arabia Saudita, Emiratos Árabes Unidos, Jordania, Kuwait, Omán, Irak e Israel.

Scarred Manticore también muestra cierto grado de superposición con OilRig, otro grupo de estado-nación iraní que recientemente fue atribuido a un ataque a un gobierno anónimo de Medio Oriente entre febrero y septiembre de 2023 como parte de una campaña de ocho meses.

Se ha descubierto otro conjunto de superposiciones tácticas entre el adversario y un conjunto de intrusión cuyo nombre en código es ShroudedSnooper de Cisco Talos. Las cadenas de ataques orquestadas por el actor de amenazas han señalado a los proveedores de telecomunicaciones en el Medio Oriente utilizando una puerta trasera sigilosa conocida como HTTPSnoop.

La actividad representada por Scarred Manticore se caracteriza por el uso de un marco de malware pasivo previamente desconocido denominado LIONTAIL que se instala en servidores Windows. Se cree que el actor de amenazas está activo desde al menos 2019.

LIONTAIL, un malware avanzado, es una colección de cargadores de shellcode personalizados y cargas útiles de shellcode residentes en memoria. Un componente digno de mención del marco es un implante liviano pero sofisticado escrito en C que permite a los atacantes ejecutar comandos de forma remota a través de solicitudes HTTP.

Las secuencias de ataque implican infiltrarse en servidores Windows de acceso público para iniciar el proceso de entrega de malware y recopilar sistemáticamente datos confidenciales de los hosts infectados.

También se implementan junto con LIONTAIL varios shells web y una herramienta de reenvío web llamada LIONHEAD, un reenviador web.

La actividad histórica de Scarred Manticore indica una evolución continua del arsenal de malware del grupo, ya que el actor de amenazas anteriormente dependía de web shells como Tunna y una versión personalizada llamada FOXSHELL para acceso por puerta trasera.

Las actualizaciones progresivas de las tácticas y herramientas del actor de amenazas son típicas de los grupos de amenazas persistentes avanzadas (APT) y demuestran sus recursos y habilidades variadas. Esto se ejemplifica mejor con el uso por parte de Scarred Manticore de un controlador de kernel malicioso llamado WINTAPIX que fue descubierto por Fortinet a principios de mayo.

El ataque a Israel se produce en medio de la actual guerra entre Israel y Hamas, lo que ha llevado a grupos hacktivistas poco sofisticados a atacar a varias organizaciones en el país, así como a naciones como India y Kenia, lo que sugiere que los actores-estado-nación dependen de operaciones de información destinadas a influir en el Percepción global del conflicto.