Investigadores de la empresa de ciberseguridad Proofpoint han revelado detalles sobre amenazas recientes del grupo de cibercriminales TA453, patrocinado por el Gobierno de Irán y conocido también como Charming Kitten, Phosphorus y APT42. Estos ataques han ido dirigidos a especialistas en asuntos de Oriente Próximo, seguridad nuclear e investigación sobre el genoma humano, mediante correos electrónicos maliciosos en los que se utilizaban técnicas de ingeniería social para acciones de ciberespionaje. Desde finales de 2021, TA453 ha estado innovando continuamente en sus ataques hasta el punto de llevar sus amenazas a un nuevo nivel, con el uso de lo que Proofpoint denomina como «suplantación multipersona».
Según la investigación de Proofpoint, el grupo TA453 habría suplantado la identidad de distintas personas pertenecientes al PEW Research Center, el Foreign Policy Research Institute, la Chatham House de Reino Unido o la revista científica Nature para aproximarse a ciertos contactos con datos relevantes sobre Israel y los Estados del Golfo, los Acuerdos de Abraham y el control de armas nucleares en relación con un posible enfrentamiento entre Estados Unidos y Rusia.
“Los grupos de ciberdelincuencia patrocinados por estados son los mejores en campañas de ingeniería social de lo más pensadas para llegar a sus víctimas con éxito”, subraya Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint. “En esta ocasión, TA453 ha intensificado su juego utilizando la suplantación de varias personas, lo cual es una técnica fascinante que requiere de más recursos por cada objetivo y un abordaje coordinado entre las distintas identidades empleadas en estos ataques”.
Anteriormente, TA453 iniciaba las conversaciones con académicos, políticos, diplomáticos o periodistas, entre otros, para eventualmente enviarles enlaces de recolección de credenciales o desplegar malware de forma limitada. Pero esto cambió a mediados de este año, utilizando como remitente una identidad suplantada y añadiendo otra más en copia dentro del correo. Asimismo, dentro de los mensajes, Proofpoint ha observado cómo se incluían preguntas, por ejemplo, sobre política exterior como pretexto simplemente para mandar enlaces o archivos maliciosos, aunque también es posible que fuesen preguntas encargadas a TA453 con fines de inteligencia.
Email de TA453 donde se hace pasar por el director de investigación del Foreign Policy Research Institute.
Todos los grupos de ciberdelincuencia se encuentran constantemente en un estado de iteración de sus herramientas, tácticas y técnicas, avanzando en algunas mientras que dejan otras obsoletas. El uso de la suplantación multipersona por parte de TA453, si bien es la técnica más reciente del grupo, es probable que siga evolucionando y transformándose a medida que los atacantes tengan nuevos objetivos de ciberespionaje con el apoyo de Irán. De hecho, los investigadores de Proofpoint ya han empezado a ver el siguiente paso de las amenazas de TA453, enviando y respondiendo correos en blanco, con el objetivo de eludir su detección.
Desde Proofpoint recomiendan a quienes se dedican a la seguridad internacional, política exterior o investigación, entre otras áreas de trabajo, que estén muy atentos cuando reciban emails no solicitados o inesperados, comprobando los sitios web de las supuestas entidades, organizaciones o usuarios que aparecen como remitente para ver si las direcciones de correo son legítimas.
