Atores de ameaças com suspeitas de ligações com o Iran foram encontrados para alavancar mensagens instantâneas e aplicativos VPN como Telegram e Psiphon para instalar um cavalo de Troia de acesso remoto (RAT) do Windows capaz de roubar informações confidenciais dos dispositivos dos alvos desde pelo menos 2015.
A empresa russa de segurança cibernética Kaspersky, que montou a atividade, atribuiu a campanha a um grupo de ameaça persistente avançada (APT) que rastreia como Ferocious Kitten, um grupo que selecionou indivíduos de língua persa supostamente baseados no país enquanto operavam com sucesso sob o radar .
"A segmentação de Psiphon e Telegram, sendo que ambos são serviços muito populares no Iran, sublinha o fato de que as cargas foram desenvolvidos com o objetivo de orientar os usuários iranianos em mente," Global Research da Kaspersky e Análise da equipe (grande) disse .
"Além disso, o conteúdo falso exibido pelos arquivos maliciosos muitas vezes fazia uso de temas políticos e imagens ou vídeos envolvidos de bases de resistência ou ataques contra o regime iraniano, sugerindo que o ataque é dirigido a possíveis apoiadores de tais movimentos dentro do país."
As descobertas da Kaspersky emergem de dois documentos transformados em armas que foram carregados para o VirusTotal em julho de 2020 e março de 2021 que vêm incorporados com macros, que, quando habilitadas, descartam cargas úteis do próximo estágio para implantar um novo implante chamado MarkiRat .
O backdoor permite que os adversários tenham amplo acesso aos dados pessoais da vítima, incluindo recursos para gravar pressionamentos de tecla, capturar conteúdo da área de transferência, baixar e enviar arquivos, bem como a capacidade de executar comandos arbitrários na máquina da vítima.
No que parece ser uma tentativa de expandir seu arsenal, os invasores também experimentaram diferentes variantes do MarkiRat que interceptavam a execução de aplicativos como Google Chrome e Telegram para iniciar o malware e mantê-lo persistentemente ancorado ao computador ao mesmo tempo tempo também tornando muito mais difícil ser detectado ou removido. Um dos artefatos descobertos também inclui uma versão backdoor do Psiphon; uma ferramenta VPN de código aberto frequentemente usada para evitar a censura na Internet.
Outra variante recente envolve um downloader simples que recupera um executável de um domínio codificado, com os pesquisadores observando que "o uso desta amostra diverge daqueles usados pelo grupo no passado, onde a carga foi descartada pelo próprio malware, sugerindo que o grupo pode estar em processo de alteração de alguns de seus TTPs. "
Além do mais, a infraestrutura de comando e controle também tem aplicativos Android hospedados na forma de arquivos DEX e APK, aumentando a possibilidade de que o agente da ameaça também esteja simultaneamente desenvolvendo malware voltado para usuários móveis.
Curiosamente, as táticas adotadas pelo adversário se sobrepõem a outros grupos que operam contra alvos semelhantes, como Gatinho Doméstico e Gatinho Rampant, com Kaspersky encontrando paralelos na maneira como o ator usou o mesmo conjunto de servidores C2 por longos períodos de tempo e tentou reúna informações do gerenciador de senhas KeePass.
"Ferocious Kitten é um exemplo de ator que opera em um ecossistema mais amplo com o objetivo de rastrear indivíduos no Irã", concluíram os pesquisadores. "Esses grupos de ameaças não parecem ser cobertos com tanta frequência e podem, portanto, se safar com a reutilização casual de infraestrutura e conjuntos de ferramentas, sem se preocupar se eles serão removidos ou sinalizados por soluções de segurança."