Investigadores de seguridad publicaron el miércoles un informe que vincula los ciberataques a una serie de empresas aeroespaciales y de telecomunicaciones, principalmente en Oriente Medio, con grupos patrocinados por el Estado iraní.
MalKamak, un grupo de ciberespionaje que se cree que está vinculado a otros grupos conocidos patrocinados por el gobierno iraní, como Chafer APT (también conocido como APT39 o Remix Kitten), fue el responsable del reciente ataque informático, informó la empresa de ciberseguridad estadounidense-israelí Cybereason.
La empresa no nombró a las víctimas específicas, pero dijo que incluían principalmente a unas “pocas y selectas” empresas de Oriente Medio, con otras en Estados Unidos, Europa y Rusia. Aunque no se mencionó a Israel, las noticias del Canal 12 de Israel informaron de que las empresas israelíes estaban entre la lista de objetivos en Oriente Medio, sin proporcionar una fuente o detalles.
Según Cybereason, el objetivo final del hackeo era el robo de información sobre su infraestructura, tecnología y activos críticos.
El grupo iraní utilizó un troyano de acceso remoto llamado ShellClient, que había estado en uso desde al menos 2018, para obtener información de las empresas. Cybereason dijo que la amenaza seguía activa en septiembre.
El propio troyano se controla a través de la plataforma de intercambio de archivos Dropbox, lo que aparentemente dificultó su detección.
Se envían comandos al troyano, que se disfraza de programa legítimo de Microsoft, para que primero lo configure e identifique la información del sistema y qué software antivirus tiene instalado.
A continuación, todavía utilizando Dropbox, los hackers envían otro conjunto de comandos para convertir el troyano en un programa persistente en el ordenador de la víctima, con privilegios de administrador.
Cybereason dijo que su equipo comparó sus observaciones con campañas anteriores atribuidas a actores iraníes conocidos, “y fue capaz de señalar algunas similitudes interesantes entre ShellClient y el malware iraní previamente reportado y los actores de amenazas.”
En los últimos años se informó de numerosos supuestos ciberataques iraníes contra Israel, incluido uno que tuvo como objetivo su infraestructura de agua en 2020.
Israel e Irán han estado involucrados en una guerra en la sombra de años, con Israel supuestamente dirigiendo la mayor parte de sus esfuerzos – incluyendo múltiples sospechas de ciberataques – para sabotear el programa nuclear de la República Islámica.