Ciberespías vinculadas a Irán amplían sus objetivos a investigadores médicos y agencias de viajes

Se ha observado que un grupo de ciberespionaje alineado con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán ataca nuevos objetivos en los últimos dos años, incluidos investigadores médicos, un ingeniero aeroespacial e incluso un agente inmobiliario con sede en Florida.

El grupo, rastreado como TA453 pero también conocido comúnmente como Phosphorus, Charming Kitten y APT42, ha perseguido históricamente a investigadores y académicos, legisladores, periodistas y disidentes de Medio Oriente, según un informe publicado el miércoles por la firma de seguridad Proofpoint. Pero las desviaciones tanto en sus objetivos como en sus tácticas en los últimos meses sugieren que el grupo ha cambiado sus operaciones para apoyar las necesidades de inteligencia del IRGC.

“Están atacando nuevos objetivos con nuevas técnicas y con intenciones más hostiles”, dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas de Proofpoint, a The Record en un correo electrónico. “Todo esto sirve como una ventana a los objetivos del Cuerpo de la Guardia Revolucionaria Islámica y el mandato flexible bajo el cual funciona TA453”.

Proofpoint dijo que comenzó a observar diferencias en la orientación de TA453 a fines de 2020, concretamente cuando se observó que el grupo atacaba a profesionales senior en varias organizaciones de investigación médica en los EE. UU. e Israel con ataques de recolección de credenciales. Los objetivos tenían principalmente antecedentes en genética, oncología y neurología.

En julio y agosto de 2021, los investigadores de Proofpoint identificaron ataques de phishing dirigidos a académicos con experiencia en estudios de mujeres y género en varias universidades de América del Norte. Casi al mismo tiempo, “múltiples agencias de viajes iraníes que operan desde Teherán” fueron blanco de una operación de recolección de credenciales lanzada por el grupo, probablemente para recopilar detalles sobre el movimiento de iraníes fuera de Irán.

Otro incidente que se desvió del objetivo tradicional del grupo fue un ataque de febrero de 2022 que se centró en un agente inmobiliario con sede en Florida “involucrado en la venta de varias casas ubicadas cerca de la sede del Comando Central de EE. UU.”. CENTCOM es el Comando de Combate de EE. UU. responsable de las operaciones militares en Oriente Medio.

Además del cambio en la orientación, los investigadores de Proofpoint dijeron que TA453 ha adoptado nuevas técnicas en los últimos meses. Por ejemplo, históricamente el grupo creó cuentas de correo electrónico y las usó para enviar correos electrónicos de phishing a posibles víctimas, pero recientemente comenzó a usar cuentas comprometidas para atacar a personas.

En un ejemplo de 2021, un secretario de prensa de un funcionario del gobierno de EE. UU. No identificado que comentó públicamente sobre el acuerdo nuclear de Irán fue atacado a través de una cuenta de correo electrónico comprometida de un reportero local.

Otras técnicas incluyen el uso de GhostEcho, una puerta trasera que se utiliza para “ofrecer capacidades centradas en el espionaje de seguimiento” una vez que el grupo obtiene acceso a una víctima, y ​​aprovecha una persona llamada “Samantha Wolf” para señuelos de ingeniería social de confrontación.

IMAGEN: PUNTO DE PRUEBA

En un señuelo de correo electrónico compartido por Proofpoint, la persona de Wolf dice que el destinatario “causó un accidente con mi automóvil” y necesita que “solucionen este problema lo antes posible”.

“A fines de 2022, Samantha se encontró con aún más personas con las que se había sentido ofendida, enviando correos electrónicos de conversación benignos con temas de quejas adicionales a altos funcionarios gubernamentales de EE. UU. y Europa”, dijeron los investigadores.

Fuente: therecord

Más historias

La moda de “colocar” a las IAs drogas digitales

ChatGPT multiplicó por 80 sus reportes de explotación infantil en 2025

EE. UU. implementa registro facial y de huellas para todos los extranjeros en fronteras

El año 2026 cuando la Ciberseguridad dejó de ser opcional

Cómo funcionan los ataques de phishing contra 2FA y cómo detectarlos

Tácticas, técnicas y procedimientos (TTPs) de los grupos de APT asiáticos modernos

Qué ocurre con los datos robados tras un ataque de phishing

Cinco riesgos de ciberseguridad que plantean las tecnologías emergentes y cómo podemos defendernos de ellos

Ciberespionaje Iraní: Un Análisis de las Campañas de Phishing contra Israel y Egipto

Phishing, fraudes y acoso digital: El nuevo rostro del delito en línea

Las cinco red flags de ciberseguridad que amenazan a las empresas latinoamericanas

El Salvador desmantela red que convirtió a Guatemala en corredor de droga, migrantes y explotación de menores