TA453 es un grupo de cibercriminales, conocido también como Charming Kitten y Phosphorus, cuya actividad ha sido vinculada al Gobierno iraní y a los intereses de la Guardia Republicana Islámica de Irán (IRGC, por sus siglas en inglés). Entre sus objetivos de ataque se encuentran disidentes, académicos, diplomáticos y periodistas. Pero el pasado diciembre lanzó una campaña de phishing de credenciales dirigida a profesionales médicos de alto nivel de Estados Unidos e Israel especializados en investigación genética, neurología y oncología. Proofpoint, empresa líder de ciberseguridad y cumplimiento normativo, ha analizado esta campaña, a la que ha bautizado como BadBlood, en la que el grupo TA453 se desvía de su actividad habitual, aunque cabe la posibilidad de que esto responda solamente a una necesidad específica de recopilar información a corto plazo.
Los atacantes se hicieron pasar en esta ocasión por un destacado físico israelí que, desde su cuenta de Gmail, enviaba correos electrónicos maliciosos utilizando cebos de ingeniería social sobre las capacidades nucleares de Israel. El mensaje contenía una URL que, al hacer clic sobre ella, llevaba a una página de destino que falsificaba el servicio OneDrive de Microsoft con la imagen de un PDF. Cuando el usuario intentaba ver y descargar el documento, se mostraba un inicio de sesión de Microsoft fraudulento con el que se obtenían las credenciales de la víctima.
Aunque Proofpoint no tiene actualmente más visibilidad acerca de qué hacía TA453 con las credenciales obtenidas a través de esta campaña en concreto, hay informes públicos que indican que diferentes grupos vinculados con Irán, incluido TA453, utilizaban cuentas comprometidas para realizar más ataques de phishing. Tampoco se puede determinar de forma concluyente la motivación de los actores que realizan estas campañas. Dado que en la colaboración médica se recurre a menudo de manera informal al correo electrónico, esta campaña podría demostrar que TA453 tendría un requisito por parte de inteligencia de recopilar información relacionada con la investigación genética, oncológica o neurológica. Por otra parte, podría haber cierto interés en contar con datos de pacientes con el objetivo de utilizar cuentas en otras campañas de phishing.
En 2019, el Departamento de Justicia de Estados Unidos acusó a cuatro individuos iraníes de utilizar redes sociales y correos electrónicos de suplantación de credenciales a fin de llevar a cabo intrusiones informáticas maliciosas para la IRGC. Diversos informes del sector privado relacionaron a Charming Kitten con esta actividad tanto en 2017 como en 2019. Asimismo, a principios de 2019, Microsoft informó de que TA453 estaba abusando de marcas conocidas mediante el correo electrónico para hacer spearphishing contra organismos gubernamentales, objetivos políticos y periodistas en nombre del Gobierno iraní. La campaña de ataques BadBlood podría enmarcarse dentro de la tendencia creciente entre el ciberespionaje de tener como objetivo a investigadores médicos. Asimismo, el hecho de que TA453 se dirija a organizaciones e individuos israelíes está en línea con la tensión geopolítica en aumento entre Israel e Irán durante 2020.