Rabattoffert för flera licenser
Hotdatabas Skadlig programvara TAMECAT Bakdörr

TAMECAT Bakdörr

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT), Bakdörrar
Översätt till:

En våg av spionageaktivitet kopplad till den iranska statsallierade gruppen APT42 har dykt upp, och analytiker observerar en fokuserad insats mot individer och organisationer kopplade till Islamiska revolutionsgardets (IRGC) intressen. Denna operation upptäcktes i början av september 2025 och tilldelades kodnamnet SpearSpecter, och visar på en sofistikerad blandning av social ingenjörskonst och skräddarsydd distribution av skadlig kod som syftar till underrättelseinsamling.

En bredare målgruppsstrategi

Aktörerna bakom denna kampanj har riktat sig direkt mot högt uppsatta regerings- och försvarstjänstemän och använt mycket personliga metoder för att engagera dem. Inbjudningar till framstående konferenser och erbjudanden om inflytelserika möten är vanliga lockbete. Ett utmärkande kännetecken för denna aktivitet är att offerpoolen breddas till att inkludera familjemedlemmar, vilket ökar trycket och utvidgar attackytan kring primära mål.

Ursprung och utveckling av APT42

APT42 publicerades offentligt i slutet av 2022, kort efter att forskare kopplat det till flera IRGC-associerade grupper. Dessa inkluderar välkända kluster som APT35, Charming Kitten, ITG18, Mint Sandstorm och TA453, bland andra. Gruppens operativa kännetecken är dess förmåga att upprätthålla långvariga sociala ingenjörskonstoperationer, ibland veckor långa, samtidigt som de utger sig för att vara betrodda kontakter för att få trovärdighet innan de levererar skadliga nyttolaster eller illvilliga länkar.

Tidigare i juni 2025 avslöjade specialister ytterligare en stor kampanj riktad mot israeliska cybersäkerhets- och teknikexperter. I det fallet utgav sig angriparna för att vara chefer och forskare i både e-post- och WhatsApp-kommunikation. Även om de är relaterade, härrör aktiviteten i juni och SpearSpecter från två olika interna kluster av APT42 – kluster B fokuserat på stöld av autentiseringsuppgifter, medan kluster D fokuserar på intrång drivna av skadlig kod.

Personliga bedrägeritaktik

Kärnan i SpearSpecter ligger en flexibel angreppsmetodik som är utformad kring målets värde och operatörernas mål. Vissa offer omdirigeras till förfalskade mötesportaler som är utformade för att samla in autentiseringsuppgifter. Andra möter en mer påträngande metod som levererar en ihållande PowerShell-bakdörr som heter TAMECAT, ett verktyg som gruppen upprepade gånger använt under senare år.

Vanliga attackkedjor börjar med personifiering på WhatsApp, där angriparen vidarebefordrar en skadlig länk som påstår sig vara ett obligatoriskt dokument för ett kommande uppdrag. Att klicka på den utlöser en omdirigeringssekvens som resulterar i leverans av en WebDAV-hostad LNK-fil förklädd till en PDF, vilket utnyttjar protokollhanteraren search-ms: för att lura offret.

TAMECAT-bakdörren: Modulär, persistent och adaptiv

När LNK-filen har körts ansluter den till en angriparstyrd Cloudflare Workers-underdomän för att hämta ett batchskript som aktiverar TAMECAT. Detta PowerShell-baserade ramverk använder modulära komponenter för att stödja exfiltrering, övervakning och fjärrhantering. Dess kommando-och-kontrollkanaler (C2) sträcker sig över HTTPS, Discord och Telegram, vilket säkerställer motståndskraft även när en avstängd källa är nedstängd.

För Telegram-baserade operationer hämtar och exekverar TAMECAT PowerShell-kod som vidarebefordras av en bot under angriparnas kontroll. Discord-baserade C2 använder en webhook som skickar systeminformation och tar emot kommandon från en fördefinierad kanal. Analysen tyder på att kommandon kan anpassas per infekterad värd, vilket möjliggör samordnad aktivitet mot flera mål via en delad infrastruktur.

Funktioner som stöder djup spionage

TAMECAT erbjuder en bred uppsättning funktioner för underrättelseinsamling. Bland dem:

  • Datainsamling och utvinning
  • Samla filer med angivna filändelser
  • Extrahera data från Google Chrome-, Microsoft Edge- och Outlook-postlådor
  • Utför kontinuerlig skärmdumpstagning var 15:e sekund
  • Exfiltrering av insamlad information via HTTPS eller FTP
  • Stealth- och undvikningsåtgärder
  • Kryptera telemetri och nyttolaster
  • Obfuskering av PowerShell-källkod
  • Använda binärfiler som leva utanför landet för att blanda skadliga handlingar med normalt systembeteende
  • Körs primärt i minnet för att minimera diskartefakter

En motståndskraftig och kamouflerad infrastruktur

Infrastrukturen som stöder SpearSpecter kombinerar angriparstyrda system med legitima molntjänster för att dölja skadlig aktivitet. Denna hybridmetod möjliggör sömlös initial kompromiss, hållbar C2-kommunikation och hemlig datautvinning. Den operativa designen återspeglar en hotaktörs inriktning på långsiktig infiltration av högvärdiga nätverk samtidigt som minimal exponering bibehålls.

Slutsats

SpearSpecter-kampanjen understryker APT42:s kontinuerliga förfining av spionageoperationer, och kombinerar långsiktig social ingenjörskonst, adaptiv skadlig kod och robust infrastruktur för att främja underrättelsemål. Dess ihållande och mycket riktade natur utsätter tjänstemän, försvarspersonal och anknutna individer för fortsatt risk, vilket förstärker behovet av ökad vaksamhet och stark säkerhetshygien i alla kommunikationskanaler.

 

Trendigt

Mest sedda

Läser in...