Gli esperti di sicurezza informatica hanno scoperto un nuovo strumento di malware nel vasto arsenale di un noto gruppo di hacker iraniani, conosciuto come Charming Kitten.
Il gruppo Charming Kitten e il malware BellaCiao
Charming Kitten, noto anche come Mint Sandstorm, PHOSPHORUS, ITG18 e altri nomi, è considerato un gruppo sponsorizzato dallo stato, collegato al Corpo delle Guardie Rivoluzionarie Islamiche dell’Iran. Il gruppo utilizza un nuovo malware chiamato BellaCiao, creato appositamente per ogni vittima.
Il funzionamento del malware e i bersagli colpiti
I ricercatori di Bitdefender hanno scoperto la campagna e identificato numerosi obiettivi infetti. L’attacco iniziale sembra sfruttare una vulnerabilità dei server Microsoft Exchange, principali bersagli del gruppo. Una volta installato, BellaCiao disabilita Windows Defender e si mimetizza come processi legittimi di Exchange. Successivamente, il malware crea due backdoor basate su IIS per rubare credenziali e installa un eseguibile personalizzato che riceve istruzioni dalla struttura di comando e controllo (C2) del gruppo.
Un’operazione ben organizzata e sofisticata
L’analisi del codice svela una campagna ben organizzata, con obiettivi suddivisi per paese e dettagli sulle aziende e sottodomini coinvolti. Martin Zugec, direttore delle soluzioni tecniche di Bitdefender, afferma che il malware è personalizzato per adattarsi ai singoli obiettivi e mostra un elevato livello di complessità. Sono stati identificati numerosi bersagli negli Stati Uniti, Europa, Medio Oriente (Turchia) e India.
In conclusione, il gruppo Charming Kitten, attivo dal 2014, si distingue per l’utilizzo di strumenti personalizzati e sofisticati, come il malware BellaCiao, che gli consente di evadere la rilevazione e colpire specifiche organizzazioni in modo mirato.