El grupo de hackers APT42 patrocinado por el Estado iraní se dirige al gobierno, las ONG y las organizaciones intergubernamentales para obtener credenciales
En el ámbito de la ciberseguridad, la vigilancia es primordial. Revelaciones recientes de Mandiant de Google Cloud arrojan luz sobre las nefastas actividades de APT42, un grupo de ciberespionaje patrocinado por el Estado que se cree opera en nombre del Cuerpo de la Guardia Revolucionaria Islámica (CGRI) en Irán. Con una historia que se remonta al menos a 2015, APT42 se ha convertido en una amenaza importante, dirigida a una amplia gama de entidades, incluidas ONG, instituciones gubernamentales y organizaciones intergubernamentales.
Operando bajo varios alias como Calanque y UNC788, el modus operandi de APT42 es tan sofisticado como preocupante. Utilizando tácticas de ingeniería social, el grupo se hace pasar por periodistas y organizadores de eventos para infiltrarse en las redes de sus objetivos. Al aprovechar estas estrategias engañosas, APT42 se gana la confianza de víctimas desprevenidas, permitiéndoles recopilar credenciales valiosas para acceso no autorizado.
Una de las características distintivas del enfoque de APT42 es la utilización de múltiples puertas traseras para facilitar sus actividades maliciosas. El informe de Mandiant destaca el despliegue de dos nuevas puertas traseras en ataques recientes. Estas herramientas clandestinas permiten a APT42 infiltrarse en entornos de nube, filtrar datos confidenciales y evadir la detección aprovechando herramientas de código abierto y funciones integradas.
El análisis de Mandiant revela además la intrincada infraestructura empleada por APT42 en sus operaciones. El grupo organiza extensas campañas de recolección de credenciales, clasificando sus objetivos en tres grupos distintos. Desde hacerse pasar por organizaciones de medios hasta hacerse pasar por servicios legítimos, APT42 emplea una variedad de tácticas para atraer a sus víctimas para que revelen sus credenciales de inicio de sesión.
Además, las actividades de APT42 van más allá del ciberespionaje tradicional. El grupo ha demostrado voluntad de adaptar sus tácticas , como lo demuestra el despliegue de puertas traseras personalizadas como Nicecurl y Tamecat. Estas herramientas, escritas en VBScript y PowerShell respectivamente, permiten a APT42 ejecutar comandos arbitrarios y extraer información confidencial de sistemas comprometidos.
A pesar de las tensiones geopolíticas y los conflictos regionales, APT42 se mantiene firme en su búsqueda de la recopilación de inteligencia. Los hallazgos de Mandiant subrayan la resiliencia y persistencia del grupo, mientras continúa apuntando a entidades asociadas con cuestiones geopolíticas delicadas en Estados Unidos, Israel y más allá. Además, la superposición entre las actividades de APT42 y las de otros grupos de hackers iraníes, como Charming Kitten, pone de relieve la naturaleza coordinada y multifacética de las operaciones cibernéticas de Irán.
Ante tales amenazas, las medidas proactivas de ciberseguridad son imperativas. Las organizaciones deben permanecer alerta, empleando protocolos de seguridad sólidos y manteniéndose al tanto de los últimos avances en ciberdefensa. Al mejorar la colaboración y el intercambio de información, la comunidad global puede enfrentar mejor el panorama de amenazas en evolución que plantean grupos como APT42.
En última instancia, las revelaciones proporcionadas por Mandiant sirven como un recordatorio aleccionador de la naturaleza persistente y generalizada de las amenazas cibernéticas. A medida que la tecnología continúa avanzando, también deben hacerlo nuestras defensas. Sólo a través de la acción colectiva y una diligencia inquebrantable podemos esperar mitigar los riesgos que plantean los grupos de ciberespionaje patrocinados por el Estado como APT42.