Los investigadores de ciberseguridad han revelado detalles de una nueva campaña denominada COSECHA CRECIENTE , probablemente dirigidos contra los partidarios de las protestas en curso en Irán para robar información y realizar espionaje a largo plazo.

La Unidad de Investigación de Amenazas (TRU) de Acronis dijo que había observado la actividad después del 9 de enero, y que los ataques estaban diseñados para lanzar una carga maliciosa que sirve como troyano de acceso remoto (RAT) y ladrón de información para ejecutar comandos, registrar las pulsaciones de teclas y filtrar datos confidenciales. Por el momento no se sabe si alguno de los ataques tuvo éxito.

«La campaña aprovecha los recientes acontecimientos geopolíticos para atraer a las víctimas a abrir archivos.LNK maliciosos disfrazados de imágenes o vídeos relacionados con las protestas», afirman los investigadores Subhajeet Singha, Eliad Kimhy y Darrel Virtusio dijo en un informe publicado esta semana.

«Estos archivos están repletos de medios auténticos y un informe en farsi que proporciona actualizaciones de 'las ciudades rebeldes de Irán'. Este encuadre a favor de las protestas parece tener la intención de aumentar la credibilidad y atraer a los iraníes de habla persa que buscan información relacionada con las protestas».

adsense

Se cree que CRESENTHARVEST, aunque no se le atribuye ninguna atribución, es obra de un grupo de amenazas alineado con Irán. Este descubrimiento la convierte en la segunda campaña de este tipo identificada para perseguir a personas específicas tras las protestas nacionales en Irán que comenzaron a finales de 2025.

El mes pasado, la empresa francesa de ciberseguridad HarfangLab detalló un grupo de amenazas denominado Gatito rojo dirigida contra organizaciones no gubernamentales y personas implicadas en la documentación de las recientes violaciones de los derechos humanos en Irán con el objetivo de infectarlas con una puerta trasera personalizada conocida como SloppyMio.

Según Acronis, se desconoce el vector exacto de acceso inicial utilizado para distribuir el malware. Sin embargo, se sospecha que los autores de las amenazas recurren al spear-suplantación de identidad (spear-phising) o «esfuerzos prolongados de ingeniería social», en los que los operadores establecen relaciones con las víctimas a lo largo del tiempo antes de enviar la carga maliciosa.

Vale la pena señalar que los grupos de hackers iraníes como Charming Kitten y Tortoiseshell tienen una historia legendaria de atractivo en ataques sofisticados de ingeniería social que implican acercarse a posibles objetivos en personas falsas y cultivar una relación con ellos, en algunos casos incluso estirándose durante años , antes de convertir la confianza en un arma para infectarla con malware.

«El uso de contenido en idioma farsi con fines de ingeniería social y los archivos distribuidos que muestran las protestas en términos heroicos sugieren la intención de atraer a personas de origen iraní que hablan farsi y apoyan las protestas en curso», señaló la empresa de seguridad con sede en Suiza.

El punto de partida de la cadena de ataque es un archivo RAR malicioso que afirma contener información relacionada con las protestas iraníes, incluidas varias imágenes y vídeos, junto con dos archivos de acceso directo de Windows (LNK) que se hacen pasar por un archivo de imagen o vídeo mediante el truco de la doble extensión (*.jpg.lnk o *.mp4.lnk).

El archivo engañoso, una vez lanzado, contiene código de PowerShell para recuperar otro archivo ZIP y, al mismo tiempo, abre una imagen o un vídeo inofensivo, lo que engaña a la víctima haciéndole creer que ha interactuado con un archivo benigno.

En el archivo ZIP hay un archivo binario legítimo firmado por Google (» software_reporter_tool.exe «) que se incluye como parte de la utilidad de limpieza de Chrome y varios archivos DLL, incluidas dos bibliotecas fraudulentas que el ejecutable descarga de forma lateral para cumplir los objetivos del autor de la amenaza -

  • urtcbased140d_d.dll, un implante de C++ que extrae y descifra los de Chrome cifrado vinculado a la aplicación claves a través de interfaces COM. Comparte solapamientos con un proyecto de código abierto conocido como ChromeElevator.
  • version.dll (también conocido como CRESENTHARVEST), una herramienta de acceso remoto que enumera los productos antivirus y las herramientas de seguridad instalados, enumera las cuentas de usuario locales en el dispositivo, carga archivos DLL, recopila los metadatos del sistema, las credenciales del navegador, los datos de las cuentas de escritorio de Telegram y las pulsaciones de teclas.
enlaces

CRESENTHARVEST emplea las API HTTP de Windows Win para comunicarse con su servidor de comando y control (C2) («servicelog-information [.] com»), lo que le permite integrarse con el tráfico normal. A continuación se enumeran algunos de los comandos compatibles:

  • Anti , para ejecutar comprobaciones antianálisis
  • Su , para robar el historial del navegador
  • Dir , para enumerar los directorios
  • Cwd , para obtener el directorio de trabajo actual
  • Cd , para cambiar de directorio
  • GetUser , para obtener información del usuario
  • ps , para ejecutar comandos de PowerShell (no funciona)
  • Registro de teclas , para activar el keylogger
  • Tel_s , para robar datos de sesión de Telegram
  • Cocinero , para robar las cookies del navegador
  • Información , para robar información del sistema
  • F_log , para robar las credenciales del navegador
  • Cargar , para subir archivos
  • caparazón , para ejecutar comandos de shell

«La campaña CRESCENTHARVEST representa el último capítulo de un patrón de una década de presuntas operaciones de ciberespionaje entre estados nacionales dirigidas a periodistas, activistas, investigadores y comunidades de la diáspora en todo el mundo», afirma Acronis. «Gran parte de lo que hemos observado en CRESENTHARVEST refleja una tradición bien establecida: el acceso inicial basado en enlaces, la carga lateral de archivos DLL mediante binarios firmados, la recolección de credenciales y la ingeniería social en consonancia con los acontecimientos actuales».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.