I ricercatori Proofpoint hanno identificato una campagna mirata di social engineering e malware durata anni da parte del gruppo di hacker TA456, allineato allo stato iraniano. Nascondendosi dietro il falso profilo social “Marcella Flores”, TA456 ha costruito una relazione attraverso piattaforme di comunicazione aziendali e personali con un dipendente di una piccola filiale di un contractor della difesa aerospaziale. All’inizio di giugno 2021, gli hacker hanno tentato di capitalizzare su questa relazione inviando il malware di destinazione attraverso uno scambio di e-mail in corso.
Progettato per condurre una ricognizione sul dispositivo dell’obiettivo, il documento carico di macro conteneva un contenuto personalizzato e dimostrava l’importanza che ricopriva per TA456. Una volta che il malware, una versione aggiornata di Liderc che Proofpoint ha definito LEMPO, si stabilisce sulla macchina, può eseguirne la ricognizione, salvarne i dettagli sull’host, esfiltrare informazioni sensibili a un account e-mail controllato dall’attore tramite SMTPS, e poi coprire le sue tracce cancellando gli artefatti dell’host di quel giorno.
Questa campagna conferma la natura persistente di alcune minacce allineate allo stato e dell’impegno che sono disposti a condurre a sostegno delle operazioni di spionaggio. A metà luglio, Facebook ha eliminato una rete di profili simili attribuiti a Tortoiseshell. LEMPO, il malware, di cui Proofpoint ha interrotto la distribuzione, insieme alla rete di figure collegate, sono attribuiti a TA456, attore ritenuto essere in qualche modo allineato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) attraverso l’associazione con la società iraniana Mahak Rayan Afraz (MRA), secondo l’analisi di Facebook.
