Los investigadores de ciberseguridad de Proofpoint han publicado nuevos datos del grupo proiraní TA453, conocido como Charming Kitten, y sus ataques a expertos en asuntos exteriores y seguridad nuclear en Oriente Próximo. En estas campañas más recientes, los atacantes han adoptado técnicas y desplegado distintos archivos, además de dirigirse a nuevos sistemas operativos, incluyendo envíos de malware para Mac.
Según la investigación de Proofpoint, TA453 siempre iniciaba el contacto a través de correos electrónicos inofensivos, suplantando la identidad de varias personas y hablando de otros expertos para establecer una relación de confianza con sus objetivos. En uno de los casos, enmascarándose como miembro del Royal United Services Institute, formado por expertos en defensa y seguridad de Reino Unido, el grupo TA453 escribió por correo electrónico a mediados de mayo a un especialista en seguridad nuclear de un think tank estadounidense acerca de un supuesto proyecto sobre Irán en el contexto de la seguridad mundial.
Las cuentas utilizadas para estas conversaciones de ciberespionaje podrían haber sido creadas por los ciberdelincuentes y no comprometidas, optando por desplegar cadenas de infección con archivos LNK en vez de utilizar documentos Word con macros. Proofpoint ha constatado asimismo el enfoque multicloud que seguía TA453 con el objetivo de desbaratar los esfuerzos de cazadores de amenazas, como demuestra el uso de Google Scripts, Dropbox y CleverApps. Independientemente del método de infección, este grupo de ciberdelincuentes ha demostrado una vez más que sigue trabajando activamente en pos de sus objetivos de reconocimiento intrusivo y no autorizado para recopilar información de individuos altamente seleccionados.
“La capacidad y la voluntad que tiene TA453 para dedicar recursos a nuevas herramientas con las que comprometer a sus objetivos ejemplifica la persistencia de las ciberamenazas alineadas con los intereses de un estado”, apuntan desde el equipo de investigación de Proofpoint. “Los continuos esfuerzos de este grupo de ciberdelincuencia proiraní por iterar cadenas de infección mediante las que eludir los controles de seguridad demuestran lo importante que es una defensa sólida e informada para frustrar incluso a los adversarios más avanzados”.
