Un grupo de Irán-Nexus se ha relacionado con una campaña de phishing de lanza «coordinada» y «multi onda» dirigida a las embajadas y consulados en Europa y otras regiones en todo el mundo.
La actividad ha sido atribuida por la compañía de ciberseguridad israelí Dream a operadores alineados con iraní conectados a una actividad cibernética ofensiva más amplia realizada por un grupo conocido como Justicia de la patria.
«Se enviaron correos electrónicos a múltiples destinatarios del gobierno en todo el mundo, disfrazando la comunicación diplomática legítima», dijo la compañía. «La evidencia apunta hacia un esfuerzo de espionaje regional más amplio dirigido a entidades diplomáticas y gubernamentales durante un momento de tensión geopolítica elevada».
Las cadenas de ataque implican el uso de correos electrónicos de phishing de lanza con temas relacionados con las tensiones geopolíticas entre Irán e Israel para enviar una palabra maliciosa de Microsoft que, cuando se abre, insta a los destinatarios a «habilitar el contenido» para ejecutar una macro de aplicaciones Visual Basic para aplicaciones (VBA) de Visual Basic (VBA), que es responsable de desplegar la carga de pago de malware.
Los mensajes de correo electrónico, por sueño, se enviaron a embajadas, consulados y organizaciones internacionales en el Medio Oriente, África, Europa, Asia y las Américas, lo que sugiere que la actividad emitió una amplia red de phishing. Se dice que las embajadas europeas y las organizaciones africanas fueron las más dirigidas.
Las misivas digitales fueron enviadas desde 104 direcciones comprometidas únicas que pertenecen a funcionarios y entidades pseudo-gubernamentales para darles una capa adicional de credibilidad. Al menos algunos de los correos electrónicos se originaron en un buzón pirateado perteneciente al Ministerio de Asuntos Exteriores de Omán en París (*@fm.gov.om).
«El contenido de señuelo hizo referencia constantemente a las comunicaciones de MFA urgentes, transmitió autoridad y explotó la práctica común de permitir que las macros accedieran al contenido, que son los sellos distintivos de una operación de espionaje bien planificada que enmascaró deliberadamente la atribución», dijo Dream.
El objetivo final de los ataques es implementar utilizando el Macro VBA un ejecutable que puede establecer persistencia, contactar a un servidor de comando y control (C2) e información del sistema de cosecha.
La compañía de ciberseguridad Clearsky, que también detalló algunos aspectos de la campaña a fines del mes pasado, dijo que los correos electrónicos de phishing se enviaron a múltiples ministerios de asuntos exteriores.
«Los actores de amenaza iraníes utilizaron técnicas de ofuscación similares en 2023 cuando se dirigieron a Mojahedin-e-Khalq en Albania», dijo en una publicación sobre X. «Evaluamos con confianza moderada de que esta actividad está vinculada a los mismos actores de amenaza iraníes».