Se ha atribuido a un grupo de ciberespionaje vinculado con Irán, conocido como UNC1549, una nueva campaña dirigida a empresas de telecomunicaciones europeas, que logró infiltrarse en 34 dispositivos de 11 organizaciones como parte de una actividad con temática de reclutamiento en LinkedIn.
La empresa suiza de ciberseguridad PRODAFT está rastreando el clúster con el nombre Caracol sutil . Se considera que está afiliado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán. Las 11 empresas objetivo están ubicadas en Canadá, Francia, los Emiratos Árabes Unidos, el Reino Unido y los Estados Unidos.
«El grupo opera haciéndose pasar por representantes de recursos humanos de entidades legítimas para contratar a los empleados, y luego los compromete mediante el despliegue de una variante de puerta trasera de MINIBIKE que se comunica con la infraestructura de mando y control (C2) mediante proxy a través de los servicios en la nube de Azure para evitar la detección», dijo la empresa dijo en un informe compartido con The Hacker News.
UNC1549 (también conocido como TA455), que se cree que está activo desde al menos junio de 2022, comparte superposiciones con otros dos grupos de hackers iraníes conocidos como Smoke Sandstorm y Crimson Sandstorm (también conocidos como Imperial Kitten, TA456, Tortoiseshell y Yellow Liderc). El actor de la amenaza era primera documentación de Mandiant, propiedad de Google, en febrero de 2024.
El uso de señuelos con temática laboral por parte de la UNC1549 fue posteriormente detallada de la empresa israelí de ciberseguridad ClearSky, que detalló los ataques del adversario contra la industria aeroespacial ya en septiembre de 2023 para lanzar familias de malware como SnailResin y SlugResin.
«La principal motivación del grupo consiste en infiltrarse en las entidades de telecomunicaciones y, al mismo tiempo, mantener el interés en las organizaciones aeroespaciales y de defensa para establecer una persistencia a largo plazo y filtrar datos confidenciales con fines de espionaje estratégico», dijo PRODAFT.
Las cadenas de ataques implican un amplio reconocimiento en plataformas como LinkedIn para identificar al personal clave de las organizaciones objetivo, centrándose específicamente en los investigadores, desarrolladores y administradores de TI con un acceso elevado a sistemas críticos y entornos de desarrolladores.
En la siguiente fase, se observó a los actores de la amenaza enviando correos electrónicos de suplantación de identidad para validar las direcciones de correo electrónico y recopilar información adicional antes de llevar a cabo la parte crucial de la operación: la falsa campaña de reclutamiento.
Para lograrlo, los atacantes crearon perfiles de cuentas de recursos humanos convincentes en LinkedIn y se pusieron en contacto con posibles objetivos con oportunidades laborales inexistentes, generando gradualmente confianza y credibilidad para aumentar las probabilidades de éxito del plan. La campaña se caracteriza por los meticulosos esfuerzos de los operadores de Subtle Snail para adaptar el ataque a cada víctima.
Si la víctima expresa interés en la oferta, se le contacta posteriormente por correo electrónico para programar una entrevista haciendo clic en un dominio fraudulento que imita a empresas como Telespazio o Safran Group. La introducción de la información necesaria desencadena automáticamente la descarga de un archivo ZIP.
En el archivo ZIP hay un ejecutable que, una vez lanzado, utiliza la carga lateral de DLL para lanzar una DLL maliciosa llamada MINIBIKE, que luego recopila información del sistema y espera cargas adicionales en forma de DLL de Microsoft Visual C/C++ para realizar reconocimientos, registrar las pulsaciones de teclas y el contenido del portapapeles, robar credenciales de Microsoft Outlook, recopilar datos de navegadores web de Google Chrome, Brave y Microsoft Edge y tomar capturas de pantalla.
El ladrón de navegadores web, en particular, incorpora una herramienta disponible públicamente llamada Cifrado y descifrado vinculado a la aplicación Chrome eludir protecciones de cifrado vinculadas a aplicaciones implementado por Google para descifrar y robar las contraseñas almacenadas en el navegador.
«El equipo de Subtle Snail crea e implementa una DLL única y específica para cada víctima en la máquina cada vez, incluso para recopilar información de configuración de red de los dispositivos», señaló PRODAFT. «Los archivos DLL maliciosos utilizados por el autor de la amenaza presentan características similares en la sección de exportación».
«Los archivos DLL legítimos se modifican para facilitar la ejecución sin problemas de un ataque de carga lateral de DLL, en el que los nombres de las funciones se sustituyen por variables de cadena directa. Esta táctica permite al atacante eludir los mecanismos de detección típicos manipulando la tabla de exportación de la DLL, haciendo que aparezca como un archivo legítimo mientras lleva a cabo actividades malintencionadas».
MINIBIKE es una puerta trasera modular con todas las funciones que admite 12 comandos distintos para facilitar la comunicación C2, lo que le permite enumerar archivos y directorios, enumerar los procesos en ejecución y terminar algunos específicos, cargar archivos en fragmentos y ejecutar cargas útiles de tipo exe, DLL, BAT o CMD.
Además de combinar su tráfico C2 con las comunicaciones habituales en la nube mediante el uso de servicios en la nube legítimos de Azure y servidores privados virtuales (VPS) como infraestructura de proxy, el malware realiza modificaciones en el registro de Windows para que se cargue automáticamente tras el inicio del sistema.
También incluye técnicas antidepuración y antiespacio aislado para dificultar el análisis, y utiliza métodos como el control del flujo de control y algoritmos de hash personalizados para resolver las funciones de la API de Windows en tiempo de ejecución, a fin de resistirse a la ingeniería inversa y dificultar la comprensión de su funcionalidad general.
«Las operaciones de Subtle Snail causan graves daños al combinar la recopilación de inteligencia con el acceso a largo plazo a redes de telecomunicaciones críticas», dijo PRODAFT. «No solo infectan los dispositivos, sino que buscan activamente datos confidenciales y formas de mantener su acceso a ellos».
«Utilizan rutas predefinidas para guiar sus búsquedas y centrarse en robar correos electrónicos, configuraciones de VPN y otra información que les ayuda a mantener el control. También buscan archivos confidenciales almacenados en carpetas compartidas, que pueden revelar secretos empresariales y datos personales».
Expuesto el conjunto de herramientas diversificado de MuddyWater
La divulgación se presenta como Group-IB arroja luz sobre la infraestructura y el conjunto de herramientas de malware de otro grupo de hackers patrocinado por el estado iraní conocido como Agua fangosa , que ha reducido «significativamente» su confianza en herramientas de monitoreo y administración remotas (RMM) en favor de puertas traseras y herramientas a medida como -
- Bug Sleep (Visto por primera vez en mayo de 2024), un backdoor basado en Python diseñado para ejecutar comandos y facilitar la transferencia de archivos
- LiteInject (Visto por primera vez en febrero de 2025), un inyector portátil ejecutable
- Caché sigiloso (Vista por primera vez en marzo de 2025), una puerta trasera repleta de funciones con capacidades para leer y escribir archivos, terminar o reiniciarse, buscar procesos de seguridad y robar credenciales y archivos
- Carpeta (Visto por primera vez en marzo de 2025), un cargador capaz de cargar, descifrar y ejecutar una carga útil cifrada en la memoria
- Fénix (Visto por primera vez en abril de 2025), un malware que se utiliza para implementar una variante reducida de BugSleep
- Cannon Rat , una herramienta maliciosa diseñada para el control remoto de sistemas comprometidos
- Gángster del UDP , una puerta trasera básica que se comunica con su servidor C2 a través del protocolo UDP
Se considera que MuddyWater, activo desde 2017, es un elemento subordinado del Ministerio de Inteligencia y Seguridad (MOIS) de Irán. También rastreado como Boggy Serpens, Mango Sandstorm y TA450, este actor de amenazas tiene un historial de ataques contra entidades de telecomunicaciones, gobierno, energía, defensa e infraestructuras críticas en Oriente Medio, y ha registrado un nuevo aumento en los ataques contra Europa y los Estados Unidos.
«La actividad reciente muestra que siguen confiando en el phishing para la entrega, ya que aprovechan los maldocs con macros maliciosas para infectar. El análisis de la infraestructura ha revelado el uso activo de Amazon Web Services (AWS) para alojar activos malintencionados, y los servicios de Cloudflare se han aprovechado para ocultar las huellas dactilares de la infraestructura e impedir el análisis», afirma Mansour Alhmoud, investigador del Grupo IB.
«Las campañas persistentes de MuddyWater subrayan su papel a la hora de respaldar los requisitos de inteligencia iraníes, al tiempo que mantienen una negación plausible de las operaciones cibernéticas dirigidas por el estado contra competidores regionales y objetivos occidentales».