Se cree que un grupo de ciberespionaje respaldado por Irán, conocido como APT42, está detrás de una serie de ciberataques a organizaciones y personas opuestas al gobierno iraní que se remontan a 2015, según un nuevo informe de la empresa de ciberseguridad Mandiant publicado el miércoles.
Según Mandiant, el grupo utiliza la suplantación de identidad y la ingeniería social con el fin de crear confianza y relación con las víctimas para recopilar información sobre ellas y sus allegados.
Mientras que muchos grupos de hackers respaldados por Irán se centran en atacar las industrias de defensa de naciones extranjeras o en recopilar información personal, APT42 se centra en gran medida en atacar a organizaciones o individuos opuestos al régimen iraní.
Grupos de reflexión, investigadores, periodistas, funcionarios del gobierno, centros de salud y la diáspora iraní han sido objeto de ataques en al menos 14 países, incluidos Israel y los Emiratos Árabes Unidos, como parte de la actividad de APT42.
La actividad del grupo parece evolucionar a medida que cambian las prioridades iraníes, según Mandiant. Durante la pandemia de COVID-19, el grupo tuvo como objetivo el sector farmacéutico en 2020. En vísperas de las elecciones presidenciales iraníes, el grupo se dirigió a grupos de la oposición nacionales y extranjeros.
Formas de ataque de APT42
En varios ataques, el grupo presentó a las víctimas una página de inicio de sesión de Gmail falsa para obtener las credenciales de los objetivos.
APT42 suele intentar atraer a sus víctimas haciéndose pasar por periodistas o investigadores y manteniendo largas conversaciones con los objetivos antes de enviar el enlace malicioso.
En un ataque, el grupo utilizó una cuenta de correo electrónico comprometida perteneciente a un empleado de un grupo de expertos con sede en Estados Unidos para atacar a investigadores de Oriente Medio de otras organizaciones, a funcionarios del gobierno estadounidense, a un antiguo funcionario del gobierno iraní y a miembros de un grupo de la oposición iraní.
En otro ataque, el grupo se hizo pasar por una organización de noticias británica legítima para atacar a profesores de ciencias políticas.
APT42 también utiliza malware para móviles con el fin de vigilar y controlar a personas de interés para el gobierno iraní, incluidos miembros de grupos de la oposición iraní. Algunos de los ataques se dirigieron a personas en Irán, entre ellas individuos vinculados a universidades, grupos políticos reformistas y activistas de derechos humanos.
El grupo era capaz de grabar las llamadas telefónicas, activar el micrófono del teléfono y grabar el audio, extraer imágenes y tomar fotos a la orden y rastrear la ubicación de los objetivos.
Según Mandiant, es bastante seguro que APT42 está operando en nombre del gobierno iraní y hay fuertes indicadores de que el grupo está vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC).
En general, APT42 parece alinearse con la actividad que otros organismos de ciberseguridad han denominado TA453, Yellow Garuda e ITG18, así como con parte de la actividad atribuida a los grupos denominados Phosphorus y Charming Kitten.
Ataques anteriores vinculados y similares a APT42
En junio, la empresa israelí de ciberseguridad Check Point informó de que era probable que Phosphorus estuviera detrás de los intentos de hackear los correos electrónicos de altos funcionarios y ejecutivos israelíes y estadounidenses, entre ellos la ex ministra de Asuntos Exteriores Tzipi Livni y un ex embajador de Estados Unidos en Israel.
Ese ataque utilizó correos electrónicos haciéndose pasar por un conocido ex general de división de las Fuerzas de Defensa de Israel y un diplomático estadounidense para atraer a sus objetivos.
En mayo, el Shin Bet reveló que piratas informáticos iraníes intentaban atraer a empresarios y académicos israelíes al extranjero para secuestrarlos o perjudicarlos y reunir información de inteligencia.
En ese ataque, los piratas informáticos también se hicieron pasar por académicos, periodistas, oficiales de la reserva, empresarios y filántropos extranjeros e israelíes, y utilizaron las identidades robadas y las historias de cobertura pertinentes para recopilar información de inteligencia sobre los israelíes y para atraerlos a lugares en el extranjero con el fin de secuestrarlos o hacerles daño.
El Shin Bet no nombró al grupo que estaba detrás de esa operación cibernética.
El año pasado, la empresa de ciberseguridad Proofpoint informó de que Phosphorus tuvo como objetivo a profesionales médicos de alto nivel especializados en investigación genética, neurología y oncología en Estados Unidos e Israel en 2020.
En ese ataque, los hackers utilizaron una cuenta de Gmail que se presentó como perteneciente al destacado físico israelí y ex presidente del Instituto de Ciencia Weizmann, Daniel Zajfman.