Un grupo de amenazas persistentes avanzadas con vínculos a Irán ha actualizado su conjunto de herramientas de malware para incluir un novedoso implante basado en PowerShell llamado Puerta trasera sin energía, según una nueva investigación publicada por Cybereason.
La empresa de ciberseguridad con sede en Boston atribuyó el malware a un grupo de piratas informáticos conocido como Charming Kitten (también conocido como Phosphorous, APT35 o TA453), al mismo tiempo que llama la ejecución evasiva de PowerShell de la puerta trasera.
«El código de PowerShell se ejecuta en el contexto de una aplicación .NET, por lo que no ejecuta ‘powershell.exe’, lo que le permite evadir los productos de seguridad», Daniel Frank, investigador sénior de malware en Cybereason, dicho. «El conjunto de herramientas analizado incluye malware extremadamente modular y de varias etapas que descifra y despliega cargas útiles adicionales en varias etapas por el bien del sigilo y la eficacia».
El actor de amenazas, que está activo desde al menos 2017, ha estado detrás de una serie de campañas en los últimos años, incluidas aquellas en las que el adversario se hizo pasar por periodistas y académicos para engañar a los objetivos para que instalen malware y roben información clasificada.
A principios de este mes, Check Point Research reveló detalles de una operación de espionaje que involucró al grupo de piratas informáticos que explotó las vulnerabilidades de Log4Shell para implementar una puerta trasera modular denominada CharmPower para ataques de seguimiento.
Los últimos refinamientos a su arsenal, como lo detectó Cybereason, constituyen un conjunto de herramientas completamente nuevo que abarca PowerLess Backdoor, que es capaz de descargar y ejecutar módulos adicionales, como un ladrón de información del navegador y un registrador de teclas.
También están potencialmente vinculados al mismo desarrollador de la puerta trasera una serie de otros artefactos de malware, que incluyen una grabadora de audio, una variante anterior del ladrón de información y lo que los investigadores sospechan que es un variante de ransomware sin terminar codificado en .NET.
Además, se han identificado superposiciones de infraestructura entre el grupo Phosphorus y una nueva cepa de ransomware llamada Recuerdo, que surgió por primera vez en noviembre de 2021 y tomó la medida inusual de bloquear archivos dentro de archivos protegidos con contraseña, seguido de cifrar la contraseña y eliminar los archivos originales, después de que sus intentos de cifrar los archivos directamente fueran bloqueados por la protección de punto final.
«La actividad de Phosphorus con respecto a ProxyShell tuvo lugar aproximadamente al mismo tiempo que Memento», dijo Frank. «También se informó que los actores de amenazas iraníes recurrieron al ransomware durante ese período, lo que fortalece la hipótesis de que Memento es operado por un actor de amenazas iraní».
