Un gruppo di minaccia con collegamenti all’Iran, noto come UNC1549, è stato identificato con una certa sicurezza come responsabile di una nuova serie di attacchi contro i settori aerospaziale, dell’aviazione e della difesa in Medio Oriente, inclusi Israele e gli Emirati Arabi Uniti. Secondo un’analisi di Mandiant, di proprietà di Google, è probabile che tra gli obiettivi delle attività di spionaggio informatico vi siano anche Turchia, India e Albania.
UNC1549 sembra sovrapporsi a Smoke Sandstorm (precedentemente noto come Bohrium) e Crimson Sandstorm (precedentemente noto come Curium), quest’ultimo affiliato al Corpo delle Guardie della Rivoluzione Islamica (IRGC) e noto anche come Imperial Kitten, TA456, Tortoiseshell e Yellow Liderc. Le attività sospette di UNC1549 sono attive da giugno 2022 e continuano fino a febbraio 2024, influenzando entità che operano su scala globale.
Gli attacchi includono l’utilizzo dell’infrastruttura cloud di Microsoft Azure per il comando e il controllo (C2) e l’ingegneria sociale con esche lavorative per distribuire due backdoor denominate MINIBIKE e MINIBUS. Le email di spear-phishing mirano a diffondere link a siti web falsi con contenuti relativi a Israele e Hamas o false offerte di lavoro, portando al rilascio di un payload malevolo. Sono state osservate anche pagine di login fasulle che imitano grandi aziende per raccogliere credenziali.
Le backdoor personalizzate, una volta stabilito l’accesso C2, fungono da condotto per la raccolta di intelligence e per ulteriori accessi alla rete target. Un altro strumento utilizzato in questa fase è un software di tunneling chiamato LIGHTRAIL che comunica tramite il cloud Azure.
Mentre MINIBIKE, basato su C++, è in grado di esfiltrare e caricare file ed eseguire comandi, MINIBUS funge da successore “più robusto” con funzionalità di ricognizione avanzate. Mandiant afferma che le informazioni raccolte su queste entità sono rilevanti per gli interessi strategici iraniani e potrebbero essere sfruttate per spionaggio e operazioni cinetiche.
Questi sviluppi evidenziano la crescente sofisticazione e la natura mirata delle campagne di spionaggio informatico condotte da attori statali e affini, con implicazioni significative per la sicurezza delle infrastrutture critiche e delle industrie chiave.