Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Porta del darrere de TAMECAT

Porta del darrere de TAMECAT

El Mezo el Programari maliciós, Amenaça persistent avançada (APT), Portes del darrere
Traduir a:

Ha sorgit una onada d'activitat d'espionatge vinculada al grup alineat amb l'estat iranià APT42, amb analistes observant un esforç concentrat contra individus i organitzacions vinculats als interessos del Cos de la Guàrdia Revolucionària Islàmica (IRGC). Detectada a principis de setembre de 2025 i assignada al nom en clau SpearSpecter, aquesta operació demostra una sofisticada barreja d'enginyeria social i desplegament de programari maliciós a mida destinat a la recopilació d'intel·ligència.

Una estratègia de segmentació ampliada

Els responsables d'aquesta campanya s'han dirigit directament a alts funcionaris del govern i de defensa, utilitzant enfocaments altament personalitzats per aconseguir que s'hi comprometin. Les invitacions a conferències destacades i les ofertes de reunions influents són esquers habituals. Una característica definidora d'aquesta activitat és l'ampliació del grup de víctimes per incloure membres de la família, augmentant la pressió i expandint la superfície d'atac al voltant dels objectius principals.

Orígens i evolució de l’APT42

L'APT42 va entrar en funcionament públic a finals del 2022, poc després que els investigadors el vinculessin a diversos grups associats a l'IRGC. Aquests inclouen clústers coneguts com APT35, Charming Kitten, ITG18, Mint Sandstorm i TA453, entre d'altres. La marca registrada operativa del grup és la seva capacitat de mantenir operacions d'enginyeria social de llarga durada, que de vegades duren setmanes, mentre suplanta contactes de confiança per guanyar credibilitat abans de lliurar càrregues útils nocives o enllaços maliciosos.

A principis de juny de 2025, uns especialistes van descobrir una altra gran campanya dirigida a professionals israelians de la ciberseguretat i la tecnologia. En aquest cas, els atacants es van fer passar per executius i investigadors tant en comunicacions per correu electrònic com per WhatsApp. Tot i que estan relacionades, l'activitat del juny i SpearSpecter provenen de dos clústers interns diferents d'APT42: el clúster B se centrava en el robatori de credencials, mentre que el clúster D se centra en intrusions impulsades per programari maliciós.

Tàctiques d’engany personalitzades

Al nucli de SpearSpecter hi ha una metodologia d'atac flexible basada en el valor de l'objectiu i els objectius dels operadors. Algunes víctimes són redirigides a portals de reunions falsificats dissenyats per obtenir credencials. D'altres s'enfronten a un enfocament més intrusiu que ofereix una porta del darrere persistent de PowerShell anomenada TAMECAT, una eina utilitzada repetidament pel grup en els darrers anys.

Les cadenes d'atac comunes comencen amb una suplantació d'identitat a WhatsApp, on l'adversari reenvia un enllaç maliciós que afirma ser un document necessari per a una propera interacció. En fer-hi clic, s'activa una seqüència de redirecció que resulta en el lliurament d'un fitxer LNK allotjat a WebDAV disfressat de PDF, aprofitant el controlador de protocol search-ms: per enganyar la víctima.

La porta del darrere de TAMECAT: modular, persistent i adaptativa

Un cop executat, el fitxer LNK es connecta a un subdomini de Cloudflare Workers operat per un atacant per obtenir un script per lots que activa TAMECAT. Aquest marc de treball basat en PowerShell utilitza components modulars per donar suport a l'exfiltració, la vigilància i la gestió remota. Els seus canals de comandament i control (C2) abasten HTTPS, Discord i Telegram, garantint la resiliència fins i tot quan es tanca una via.

Per a operacions basades en Telegram, TAMECAT recupera i executa codi PowerShell transmès per un bot sota el control dels atacants. El C2 basat en Discord utilitza un webhook que envia detalls del sistema i rep ordres d'un canal predefinit. L'anàlisi suggereix que les ordres es poden personalitzar per a cada host infectat, permetent una activitat coordinada contra múltiples objectius a través d'una infraestructura compartida.

Capacitats que donen suport a l’espionatge profund

TAMECAT ofereix un ampli conjunt de funcions de recopilació d'intel·ligència. Entre elles:

  • Recopilació i extracció de dades
  • Recollida de fitxers amb extensions especificades
  • Extracció de dades de les bústies de correu de Google Chrome, Microsoft Edge i Outlook
  • Realització de captures de pantalla contínues cada 15 segons
  • Exfiltració d'informació recopilada mitjançant HTTPS o FTP
  • Mesures d'ocultació i evasió
  • Xifratge de telemetria i càrregues útils
  • Ofuscant el codi font de PowerShell
  • Ús de binaris que viuen fora de la terra per combinar accions malicioses amb el comportament normal del sistema
  • S'executa principalment en memòria per minimitzar els artefactes de disc

Una infraestructura resilient i camuflada

La infraestructura que suporta SpearSpecter combina sistemes controlats per atacants amb serveis al núvol legítims per ocultar l'activitat maliciosa. Aquest enfocament híbrid permet un compromís inicial sense fissures, comunicacions C2 duradores i extracció de dades encoberta. El disseny operatiu reflecteix la intenció de l'actor d'amenaces d'infiltrar-se a llarg termini en xarxes d'alt valor mantenint una exposició mínima.

Conclusió

La campanya SpearSpecter subratlla el refinament continu de les operacions d'espionatge d'APT42, combinant enginyeria social a llarg termini, programari maliciós adaptatiu i una infraestructura robusta per avançar en objectius d'intel·ligència. La seva naturalesa persistent i altament dirigida posa en risc continu els funcionaris, el personal de defensa i les persones afiliades, cosa que reforça la necessitat d'una major vigilància i una forta higiene de seguretat en tots els canals de comunicació.

 

Tendència

Més vist

Carregant...