Un gruppo di cyber spionaggio iraniano noto come Mint Sandstorm, identificato anche come APT35, Charming Kitten, TA453 e Yellow Garuda, ha preso di mira individui di alto profilo che lavorano su questioni della guerra mediorientale presso università e organizzazioni di ricerca in Belgio, Francia, Gaza, Israele, Regno Unito e Stati Uniti da novembre 2023.
Tattiche Utilizzate
Gli attacchi, in alcuni casi, coinvolgono l’uso di un backdoor precedentemente non documentato chiamato MediaPl, segnalando continui sforzi da parte degli attori iraniani di perfezionare le loro tecniche post-intrusione. Mint Sandstorm è noto per le sue campagne di social engineering, persino utilizzando account legittimi ma compromessi per inviare email di phishing personalizzate ai potenziali obiettivi.
Strategie di Attacco
Il sub-cluster si impegna in un social engineering intensivo per individuare giornalisti, ricercatori, professori e altre persone con competenze in questioni di sicurezza e politica di interesse per Teheran. Le campagne di intrusione sono caratterizzate dall’uso di esche legate alla guerra Israele-Hamas, inviando email innocue sotto le spoglie di giornalisti e altri individui di alto profilo per costruire un rapporto con gli obiettivi e stabilire un livello di fiducia prima di tentare di distribuire malware.
Obiettivi e Impatto
È probabile che la campagna sia un tentativo di raccogliere prospettive sugli eventi legati alla guerra da parte dell’attore di minaccia statale. L’utilizzo di account compromessi appartenenti alle persone che cercavano di impersonare per inviare i messaggi di posta elettronica a tema guerra è una nuova tattica di Mint Sandstorm non vista in precedenza.
Malware e Tecniche Utilizzate
Le catene di attacco aprono la strada per l’installazione di software dannoso personalizzato come MischiefTut o MediaPl. MediaPl, in particolare, si maschera da Windows Media Player ed è progettato per trasmettere comunicazioni criptate al suo server C2 e lanciare comandi ricevuti dal server.