APT iraní emplea malware de puerta trasera POWERSTAR

Charming Kitten, un actor de amenazas patrocinado por el estado vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), ha sido identificado como el perpetrador de una sofisticada campaña de phishing. La campaña ofrece una versión actualizada de un poderoso backdoor de PowerShell llamado POWERSTAR.

Los investigadores de Volexity, Ankur Saini y Charlie Gardner, informaron que el malware se ha mejorado con medidas de seguridad operativas mejoradas, lo que dificulta el análisis y la recopilación de inteligencia.

Charming Kitten sobresale en el aprovechamiento de las tácticas de ingeniería social para atraer a los objetivos. Crean identidades falsas personalizadas en las plataformas de redes sociales y entablan conversaciones prolongadas para generar confianza antes de enviar enlaces maliciosos. El grupo también es conocido por varios nombres, incluidos APT35, Cobalt Illusion, Mint Sandstorm (anteriormente Phosphorus) y Yellow Garuda.

Los ataques recientes orquestados por Charming Kitten han utilizado implantes adicionales como PowerLess y BellaCiao, lo que sugiere una amplia gama de herramientas de espionaje empleadas para lograr sus objetivos estratégicos.

POWERSTAR en resumen

POWERSTAR, también conocido como CharmPower, es la última incorporación al arsenal de Charming Kitten. Fue inicialmente documentado por Check Point en enero de 2022, revelando su uso en ataques que explotan las vulnerabilidades de Log4Shell en aplicaciones Java expuestas públicamente.

Desde entonces, la puerta trasera se ha observado en al menos otras dos campañas, según informaron PwC en julio de 2022 y Microsoft en abril de 2023.

Volexity, que detectó una variante básica de POWERSTAR en 2021 distribuida a través de una macro maliciosa incrustada en un archivo DOCM, identificó una nueva ola de ataques en mayo de 2023. Esta ola emplea un archivo LNK dentro de un archivo RAR protegido con contraseña para descargar la puerta trasera de Backblaze . Además, se han tomado medidas para impedir el análisis.

Charming Kitten ha implementado un método para separar el proceso de descifrado del código inicial, lo que evita el descifrado futuro de la carga útil de POWERSTAR y agrega una protección operativa contra el análisis y la detección.

El backdoor POWERSTAR cuenta con una amplia gama de funciones, que permiten la ejecución remota de comandos de PowerShell y C#, el establecimiento de persistencia, la recopilación de información del sistema y la descarga y ejecución de módulos adicionales para enumeración de procesos, captura de pantalla, búsqueda de archivos basada en extensiones específicas y seguimiento de los componentes de persistencia.

En particular, el módulo de limpieza se ha mejorado y ampliado en la versión actualizada para borrar todos los rastros del malware y eliminar las claves de registro relacionadas con la persistencia. Estos avances indican los esfuerzos continuos de Charming Kitten para refinar las técnicas y evadir la detección.

Volexity también descubrió una variante diferente de POWERSTAR que intenta recuperar un servidor de comando y control (C2) codificado de forma rígida mediante la decodificación de un archivo almacenado en el sistema de archivos interplanetario descentralizado (IPFS). Esto significa el esfuerzo del grupo por mejorar la resiliencia de su infraestructura de ataque.

Mientras tanto, MuddyWater (también conocido como Static Kitten) empleó un marco C2 previamente no documentado llamado PhonyC2 para entregar cargas útiles maliciosas a hosts comprometidos, coincidiendo con estos desarrollos.