Charming Kitten, noto anche come APT35, è un gruppo di hacker affiliato al Corpo delle guardie della rivoluzione islamica dell’Iran. Recentemente, è stato scoperto che il gruppo ha lanciato una campagna di spear-phishing altamente mirata utilizzando una versione aggiornata di una backdoor PowerShell chiamato PowerStar.
Dettagli sulla campagna di spear-phishing
Secondo i ricercatori di Volexity, il gruppo Charming Kitten ha migliorato le misure di sicurezza operative nel malware per renderlo più difficile da analizzare e raccogliere informazioni. Charming Kitten è noto per utilizzare tecniche di ingegneria sociale per attirare le sue vittime, spesso creando false identità sui social media e impegnandosi in conversazioni prolungate per costruire un rapporto prima di inviare un link dannoso.
Caratteristiche del backdoor PowerStar
PowerStar, noto anche come CharmPower, è un backdoor che è stato documentato pubblicamente per la prima volta da Check Point nel gennaio 2022. Da allora, è stato utilizzato in almeno altre due campagne. PowerStar viene distribuito tramite un file LNK all’interno di un file RAR protetto da password e scarica il backdoor da Backblaze. Ha un set esteso di funzionalità che gli permette di eseguire comandi PowerShell e C# in remoto, configurare la persistenza, raccogliere informazioni sul sistema e scaricare ed eseguire ulteriori moduli.
Tentativi di evitare il rilevamento
Charming Kitten ha cercato di limitare il rischio di esposizione del suo malware all’analisi e al rilevamento consegnando il metodo di decrittografia separatamente dal codice iniziale e non scrivendolo mai su disco. Questo ha anche l’ulteriore vantaggio di agire come una barriera operativa, poiché separare il metodo di decrittografia dal server di comando e controllo impedisce la futura decrittografia di successo del payload PowerStar corrispondente.
Charming Kitten continua a perfezionare le sue tecniche per evitare il rilevamento. L’uso di PowerStar in questa recente campagna di spear-phishing mostra che il gruppo è altamente capace e continua a sviluppare strumenti sofisticati per realizzare i suoi obiettivi strategici.