MURKYTOUR Puerta trasera
En octubre de 2024, un actor de amenazas aliado con Irán, UNC2428, lanzó una campaña de ciberespionaje dirigida a ciudadanos israelíes. Haciéndose pasar por reclutadores de la empresa de defensa israelí Rafael, el grupo utilizó una estrategia de ingeniería social con temática laboral para atraer a las víctimas. Una vez que los usuarios mostraban interés, eran redirigidos a un sitio web fraudulento que imitaba a Rafael, donde se les solicitaba que descargaran una aplicación llamada "RafaelConnect.exe".
Tabla de contenido
Del interés a la intrusión: la cadena de distribución del malware
La herramienta descargada era en realidad un instalador conocido como LONEFLEET. Presentaba una interfaz gráfica de usuario (GUI) diseñada para simular un portal legítimo de solicitud de empleo, que solicitaba datos personales y la carga de un currículum. Esta interfaz, aparentemente inofensiva, ocultaba intenciones maliciosas. Tras el envío de los datos, se implementaba silenciosamente en segundo plano una puerta trasera llamada MURKYTOUR mediante un lanzador llamado LEAFPILE, lo que otorgaba a los atacantes acceso continuo al sistema infectado. Este enfoque pone de manifiesto el uso estratégico de las GUI por parte de los actores de amenazas para camuflar la ejecución de malware como actividad benigna.
Más de un actor: el panorama de ciberamenazas en expansión en Irán
UNC2428 es solo una pieza de un rompecabezas más amplio de operaciones cibernéticas iraníes. La campaña comparte características con las actividades vinculadas a Black Shadow, una entidad acusada por la Dirección Nacional de Ciberseguridad de Israel y que se cree opera bajo el Ministerio de Inteligencia y Seguridad de Irán (MOIS). Sus objetivos abarcan numerosos sectores en Israel, entre ellos:
- Gobierno y defensa
- Salud y finanzas
- Tecnología y comunicaciones
Otro actor, UNC3313, asociado con el grupo MuddyWater , ha realizado campañas de phishing selectivo desde 2022 y es conocido por utilizar herramientas legítimas de monitoreo remoto para mantener un acceso oculto y persistente. Mientras tanto, UNC1549 ha optado por una infraestructura en la nube para integrarse mejor en entornos empresariales y evitar ser detectado.
Mentes Maestras de la Manipulación: APT42 y Más Allá
APT42 , también conocido como Charming Kitten, es reconocido por sus sofisticadas técnicas de ingeniería social. Este grupo ha implementado páginas de inicio de sesión falsas que se hacen pasar por plataformas importantes como Google, Microsoft y Yahoo! para obtener credenciales. Han utilizado plataformas como Google Sites y Dropbox para dirigir a las víctimas a estas páginas maliciosas, lo que potencia su engaño.
Además, APT34 (OilRig) ha utilizado puertas traseras personalizadas como DODGYLAFFA y SPAREPRIZE en ataques contra sistemas del gobierno iraquí. En total, expertos en ciberseguridad han identificado más de 20 familias de malware únicas desarrolladas o utilizadas por actores iraníes en diversas operaciones cibernéticas en Oriente Medio en 2024.
Conclusión: Una amenaza persistente y en evolución
Los ciberdelincuentes iraníes han mostrado una notable evolución en sus tácticas, combinando la manipulación psicológica con la sofisticación técnica. Mediante interfaces gráficas de usuario (GUI), herramientas legítimas y servicios en la nube, están perfeccionando su enfoque para mantener el acceso y evadir la detección, lo que indica un desafío continuo para las iniciativas de ciberseguridad regionales y globales.
