Se ha vinculado a un grupo Irán-Nexus a una campaña de spear-phishing «coordinada» y de «múltiples oleadas» dirigida a las embajadas y consulados de Europa y otras regiones del mundo.
La empresa israelí de ciberseguridad Dream ha atribuido la actividad a operadores alineados con Irán conectados a una ciberactividad ofensiva más amplia emprendida por un grupo conocido como Justicia nacional .
«Se enviaron correos electrónicos a varios destinatarios gubernamentales de todo el mundo, disfrazando una comunicación diplomática legítima», dijo la empresa dijo . «La evidencia apunta a un esfuerzo de espionaje regional más amplio dirigido a entidades diplomáticas y gubernamentales en una época de mayor tensión geopolítica».
Las cadenas de ataque implican el uso de correos electrónicos de suplantación de identidad con temas relacionados con las tensiones geopolíticas entre Irán e Israel para enviar un Microsoft Word malintencionado que, al abrirse, insta a los destinatarios a «habilitar el contenido» para ejecutar una macro integrada de Visual Basic para Aplicaciones (VBA), que se encarga de desplegar la carga útil del malware.
Los mensajes de correo electrónico, según Dream, se enviaron a embajadas, consulados y organizaciones internacionales de Oriente Medio, África, Europa, Asia y las Américas, lo que sugiere que la actividad generaba una amplia red de suplantación de identidad. Se dice que las embajadas europeas y las organizaciones africanas fueron las más atacadas.
Las misivas digitales se enviaron desde 104 direcciones comprometidas únicas que pertenecían a funcionarios y entidades pseudogubernamentales para darles una capa adicional de credibilidad. Al menos algunos de los correos electrónicos procedían de un buzón pirateado que pertenecía al Ministerio de Asuntos Exteriores de Omán en París (* @fm .gov.om).
«El contenido de los señuelos hacía referencia constantemente a comunicaciones urgentes de MFA, transmitía autoridad y explotaba la práctica común de permitir que las macros accedieran al contenido, que es el sello distintivo de una operación de espionaje bien planificada que ocultaba deliberadamente la atribución», afirma Dream.
El objetivo final de los ataques es implementar, mediante la macro de VBA, un ejecutable que pueda establecer la persistencia, contactar con un servidor de comando y control (C2) y recopilar información del sistema.
La empresa de ciberseguridad ClearSky, que también detalló algunos aspectos de la campaña a finales del mes pasado, dijo que los correos electrónicos de suplantación de identidad se enviaron a varios ministerios de relaciones exteriores.
«Los actores de amenazas iraníes utilizaron técnicas de ofuscación similares en 2023 cuando atacaron Mojahedin-e-Khalq en Albania», es dijo en una publicación en X. «Evaluamos con una confianza moderada que esta actividad está vinculada a los mismos actores de amenazas iraníes».