Un grupo de hackers iraníes respaldados por el Estado utiliza enlaces maliciosos a aplicaciones VPN enviados a través de mensajes de texto para inyectar software espía, según informa una empresa de ciberseguridad.
Mandiant encontró evidencia de que APT42 (amenaza persistente avanzada) ha estado llevando a cabo este tipo de ataques contra lo que describieron como «los enemigos del estado iraní» desde 2015, con el objetivo de cosechar datos sensibles y espiar a las víctimas.
También afirman con «confianza moderada» que el grupo está alineado con la Inteligencia del Cuerpo de la Guardia Revolucionaria Islámica (IRGC-IO), que Washington designa como organización terrorista.
Sin embargo, este malware no sólo se propaga oculto tras la reputación de algunos de los mejores servicios de VPN. También se han empleado correos electrónicos de phishing bien elaborados, páginas web engañosas a aplicaciones de mensajería gratuitas y sitios sólo para adultos.
El malware para móviles plantea preocupantes riesgos en el mundo real
Como informa Mandiant (se abre en una nueva pestaña): «El uso del malware de Android para atacar a individuos de interés para el gobierno iraní proporciona a APT42 un método productivo para obtener información sensible sobre los objetivos, incluyendo movimientos, contactos e información personal.
«La capacidad probada del grupo para grabar llamadas telefónicas, activar el micrófono y grabar el audio, exfiltrar imágenes y tomar fotos a la orden, leer mensajes SMS y rastrear la ubicación GPS de la víctima en tiempo real supone un riesgo real para las víctimas individuales de esta campaña».
Los investigadores han observado más de 30 operaciones confirmadas en 14 países de todo el mundo hasta ahora, en sus siete años de actividad. Sin embargo, creen que el número total es mucho mayor.
Grupos de reflexión occidentales, investigadores, periodistas, actuales funcionarios del gobierno occidental, antiguos funcionarios del gobierno iraní, disidentes y la diáspora iraní en el extranjero han sido víctimas de estos ataques.
Mandiant publica hoy detalles sobre el actor iraní APT42. Están llevando a cabo una campaña contra los enemigos del Estado iraní. Creemos que están vinculados a la IRGC. Esto es totalmente independiente de las travesuras de Albania. 1/x https://t.co/d4gyQQc88e7 de septiembre de 2022
Operaciones de recolección de datos y vigilancia
Las campañas de APT42 tienen dos objetivos principales: recopilar datos sensibles de los objetivos como credenciales personales de correo electrónico, códigos de autenticación multifactoriales y registros de comunicaciones privadas, al tiempo que rastrean los datos de localización de las víctimas para llevar a cabo importantes operaciones de vigilancia.
El astuto libro de jugadas del grupo consiste en ganarse la confianza de los objetivos, entablando conversaciones que pueden durar incluso varias semanas antes de enviar finalmente el correo electrónico de phishing. En un caso, los hackers se hicieron pasar por periodistas de un famoso medio de comunicación estadounidense durante 37 días antes de lanzar el ataque.
En el caso del malware para móviles, APT42 se ha dirigido con éxito a los usuarios de Internet que buscaban herramientas para eludir las estrictas restricciones gubernamentales. Y, dado que más del 80% de los iraníes utiliza este tipo de software para eludir la censura en línea, la seguridad de los ciudadanos nunca ha estado tan en juego.
El informe de Mandiant señaló además cómo el grupo -que se cree que también está vinculado a la infame APT35 que el año pasado logró infiltrarse en Play Store con aplicaciones VPN falsas- ha sido hábil en la configuración rápida de sus estrategias y objetivos para alinearse con los intereses nacionales y geopolíticos de Irán.
«Evaluamos con alta confianza que APT42 continuará realizando operaciones de ciberespionaje y vigilancia alineadas con la evolución de los requisitos de recopilación de inteligencia operativa de Irán.»