Se cree que un grupo de espionaje cibernético APT33 (también conocido como Elfin y Refined Kitten) realizó ataques en nombre del gobierno iraní con nuevas herramientas y tácticas después de que el informe de Symantec expusiera su actividad maliciosa y gran parte de su infraestructura a principios de este año. La respuesta rápida sugiere que el grupo vigila de cerca la cobertura de los medios relacionados y tiene recursos suficientes para poder tomar medidas rápidamente.
De hecho, días después de la puesta en marcha del informe de Symantec de marzo de 2019, APT33 resignó su infraestructura de dominio clave y recurrió a un nuevo troyano de acceso remoto (RAT) llamado njRAT, que no estaba asociado previamente con el grupo, dijeron los investigadores de la firma de ciberseguridad Recorded Futuro.
"Nuestra investigación descubrió que APT33, o un actor de amenazas estrechamente alineado, continúa realizando y preparándose para la actividad generalizada de espionaje cibernético, con más de 1,200 dominios utilizados desde el 28 de marzo de 2019 y con un fuerte énfasis en el uso de malware de productos básicos", señalan los expertos.
Según el informe, se identificaron 728 de 1,200 dominios que se comunican con hosts infectados. Se observaron 575 de los 728 dominios que se comunican con los hosts infectados por uno de los 19 RAT que se encuentran en su mayoría a disposición del público. Casi el 60% de los dominios APT33 sospechosos se clasificaron en familias de malware relacionadas con infecciones njRAT. Otras familias de malware RAT de productos básicos, como AdwindRAT y RevengeRAT, también se vincularon a una actividad de dominio APT33 sospechosa.
El grupo ha utilizado estas herramientas en ataques recientes dirigidos a múltiples organizaciones sin nombre en Arabia Saudita desde marzo, incluido un conglomerado sin nombre con sede en Arabia Saudita, "con negocios en los sectores de ingeniería y construcción, servicios públicos, tecnología, comercio minorista, aviación y finanzas", y empresas saudíes en la industria de la salud y los metales. También entre las entidades seleccionadas se encontraban una empresa india de medios de comunicación y una delegación de una institución diplomática.
"Evaluamos que la gran cantidad de infraestructura descubierta en nuestra investigación es probablemente indicativa de una actividad operativa en curso más amplia, o el establecimiento de bases para futuras operaciones de ciberespionaje", concluyeron los investigadores.
