El grupo de cibercriminales TA453, patrocinado por el Gobierno de Irán y conocido también como Charming Kitten, Phosphorus y APT42, parece haberse desviado de sus habituales técnicas de phishing para dirigirse hacia nuevos objetivos, según una investigación de la empresa líder en ciberseguridad y cumplimiento normativo Proofpoint. Compromiso de cuentas, malware y cebos más agresivos están marcando esta nueva dirección de TA453 con la que intenta atraer a víctimas de diversa procedencia, desde investigadores médicos a agentes inmobiliarios o agencias de viajes.
Proofpoint rastrea aproximadamente seis subgrupos de TA453, diferenciándolos según victimología, técnicas e infraestructura. Al igual que otros grupos de amenazas persistentes avanzadas dedicados al ciberespionaje, se encuentra en un estado constante de cambio en lo que respecta a sus herramientas, tácticas y objetivos.
Aunque la mayoría de estas recientes campañas atípicas se centra en recopilar información para servicios de inteligencia, algunas de las actividades de TA453 podrían apoyar operaciones encubiertas de la Guardia Revolucionaria Islámica (IRGC), incluidas aquellas con tácticas de intimidación y amenazas de secuestro. Asimismo, se habría visto a este grupo de ciberdelincuencia apoyando un complot de asesinato a sueldo de la IRGC.
Lo habitual, no obstante, en este grupo es ofrecer enlaces para recopilar credenciales y así acceder a la bandeja de entrada de su objetivo para filtrar contenido procedente de su correo electrónico. Con esta premisa, y dependiendo del subgrupo de TA453, los ciberdelincuentes conversarían con la víctima durante semanas antes de enviar los enlaces maliciosos o bien los mandarían directamente en el primer email de la conversación.
También se observó que en algunas conversaciones por correo de TA453 se usaba el nombre de Samantha Wolf como remitente en mensajes dirigidos a empresas energéticas en Oriente Próximo y centros académicos en Estados Unidos, entre otros, utilizando tácticas de confrontación y quejas para aumentar la sensación de urgencia en los destinatarios y que estos actuasen y activasen finalmente los ataques.
“Este grupo proiraní de ciberdelincuencia ha estado bastante ocupado últimamente. En este año, desde Proofpoint, hemos visto el uso que ha hecho de una técnica a la que hemos denominado suplantación de identidad múltiple”, explica Sherrod DeGrippo, vicepresidenta de investigación y detección de amenazas de Proofpoint.
