Proofpoint ha detectado un ciberataque orquestado por el grupo de hackers iraní TA453, dirigido específicamente a una figura religiosa prominente. Los atacantes emplearon una estrategia de engaño y manipulación para lograr su objetivo. Este tipo de ataques, conocidos como «phishing», son cada vez más comunes y sofisticados, por lo que es fundamental estar alerta y protegerse contra estas amenazas.
El objetivo de los cibercriminales era infiltrar en los sistemas de la víctima un poderoso malware denominado BlackSmith, que a su vez liberaba un troyano llamado AnvilEcho, diseñado específicamente para recopilar información y exfiltrar datos
Destacar que tanto BlackSmith como AnvilEcho utilizan técnicas de cifrado y comunicación en red avanzadas, similares a las observadas en ataques anteriores de TA453. Esto dificulta su detección y análisis. Por otra parte, a diferencia de ataques previos, en esta ocasión los atacantes han optado por utilizar un único script de PowerShell para llevar a cabo todas las operaciones, lo que simplifica el malware y lo hace más eficiente.
AnvilEcho consta de múltiples funciones, muchas de las cuales son similares o están mejoradas con respecto a los módulos de malware utilizados por TA453 anteriormente. El script de aproximadamente 2200 líneas de PowerShell establece una serie de funciones para cifrar, codificar y filtrar información, y terminan con las dos funciones de nivel superior de Redo-It y Do-It.
Aunque los investigadores de la compañía no han podido vincular directamente al TA453 con los miembros del Cuerpo de la Guardia Revolucionaria Islámica (IRGC), sí consideran que actúan en apoyo de sus intereses y de los del gobierno iraní. En la actualidad, Proofpoint considera que el TA453 se superpone con Mint Sandstorm de Microsoft (anteriormente PHOSPHORUS) y es aproximadamente equivalente a APT42 de Mandiant y Yellow Garuda de PWC, todos los cuales pueden considerarse en general Charming Kitten.
