Un gruppo di hacker iraniano attacca usando false offerte di lavoro e siti compromessi per diffondere malware.
Rivestendo il ruolo di società dì primo piano come Boeing e del produttore cinese di droni DJI, un’entità di cyberespionage sponsorizzata dall’Iran si sta approfittando di conflitti geopolitici per orchestrare campagne di social engineering e phishing, colpendo industri del settore aerospaziale, aviazione e difesa prevalentemente in Medio Oriente. La metodologia impiegata si basa su offerte di lavoro fittizie e un sito web ingannevole che si finge partecipante della campagna “Bring Them Home Now!”, mirata al rilascio di ostaggi detenuti da Hamas.
Queste operazioni segnano una tendenza nella strategia degli attacchi cibernetici dei gruppi iraniani, i quali non esitano ad utilizzare crisi internazionali come quella tra Israele e Hamas per condurre attacchi opportunistici. L’attuale campagna, identificata fin dal giugno 2022 e attiva fino ad oggi, ha come principali obiettivi Israele, gli Emirati Arabi Uniti e potenzialmente Turchia, India e Albania.
Il gruppo coinvolto è conosciuto con il nome di UNC1549 e le sue attività sono legate a quelle dei gruppi noti come Tortoiseshell e Imperial Kitten, quest’ultimo affiliato al Corpo delle Guardie della Rivoluzione Islamica. Le tecniche di inganno utilizzate includono offerte di lavoro fasulle e manovre di social engineering, strategie che trovano riscontro in attacchi storici orchestrati dallo stesso gruppo.
Una particolare strategia utilizzata in questa offensiva implica il depistaggio delle vittime verso siti web compromessi, allo scopo di raccogliere credenziali o dislocare backdoor riconoscibili con i nomi di “MINIBUS” e “MINIBIKE”. Queste minacce cibernetiche erano fino ad ora inedite e non documentate, rivelando l’avanzamento e sofisticazione delle campagne orchestrate dall’entità iraniana.
Per mascherare la sua presenza e confondere le attività nocive con traffico di rete legittimo, il gruppo UNC1549 ha optato per l’utilizzo di infrastrutture cloud Microsoft Azure come piattaforma per il comando e controllo nonché per ospitare le funzioni necessarie al proseguimento delle azioni ingannevoli.