TAMECAT Backdoor

Lumitaw ang isang alon ng aktibidad ng espiya na nauugnay sa Iranian state-aligned group na APT42, kung saan ang mga analyst ay nagmamasid sa isang nakatutok na pagsisikap laban sa mga indibidwal at organisasyong nauugnay sa mga interes ng Islamic Revolutionary Guard Corps (IRGC). Natukoy noong unang bahagi ng Setyembre 2025 at itinalaga ang codename na SpearSpecter, ang operasyong ito ay nagpapakita ng isang sopistikadong kumbinasyon ng social engineering at iniangkop na pag-deploy ng malware na naglalayong pagkolekta ng intelligence.

Isang Pinalawak na Diskarte sa Pag-target

Ang mga operator sa likod ng kampanyang ito ay direktang naglalayon sa mga nakatataas na opisyal ng gobyerno at depensa, na gumagamit ng napaka-personalized na mga diskarte upang hilahin sila sa pakikipag-ugnayan. Ang mga imbitasyon sa mga kilalang kumperensya at mga alok ng maimpluwensyang pagpupulong ay karaniwang pang-akit. Ang isang tiyak na katangian ng aktibidad na ito ay ang pagpapalawak ng pool ng biktima upang isama ang mga miyembro ng pamilya, pagtaas ng presyon at pagpapalawak ng pag-atake sa paligid ng mga pangunahing target.

Mga Pinagmulan at Ebolusyon ng APT42

Ang APT42 ay pumasok sa pampublikong pag-uulat noong huling bahagi ng 2022, ilang sandali matapos itong i-link ng mga mananaliksik sa maraming pangkat na nauugnay sa IRGC. Kabilang dito ang mga kilalang cluster gaya ng APT35, Charming Kitten, ITG18, Mint Sandstorm, at TA453, bukod sa iba pa. Ang trademark ng pagpapatakbo ng grupo ay ang kakayahan nitong ipagpatuloy ang matagal nang pagpapatakbo ng social engineering, kung minsan ay tumatagal ng mga linggo, habang ginagaya ang mga pinagkakatiwalaang contact para magkaroon ng kredibilidad bago maghatid ng mga mapaminsalang payload o malisyosong link.

Mas maaga noong Hunyo 2025, natuklasan ng mga espesyalista ang isa pang pangunahing kampanya na naglalayong sa Israeli cybersecurity at mga propesyonal sa teknolohiya. Sa kasong iyon, ang mga umaatake ay nagpanggap bilang mga executive at mananaliksik sa parehong email at WhatsApp na mga komunikasyon. Bagama't nauugnay, ang aktibidad ng Hunyo at SpearSpecter ay nagmula sa dalawang magkaibang internal na cluster ng APT42—cluster B na nakatuon sa pagnanakaw ng kredensyal, habang ang cluster D ay nakasentro sa mga panghihimasok na dulot ng malware.

Mga Personalized na Taktika sa Panlilinlang

Sa kaibuturan ng SpearSpecter ay namamalagi ang isang nababaluktot na pamamaraan ng pag-atake na nabuo sa paligid ng halaga ng target at mga layunin ng mga operator. Ang ilang mga biktima ay na-redirect sa mga huwad na portal ng pagpupulong na ginawa upang mag-ani ng mga kredensyal. Ang iba ay nahaharap sa isang mas mapanghimasok na diskarte na naghahatid ng patuloy na PowerShell backdoor na pinangalanang TAMECAT, isang tool na paulit-ulit na ginagamit ng grupo sa mga nakaraang taon.

Ang mga karaniwang attack chain ay nagsisimula sa pagpapanggap sa WhatsApp, kung saan ang kalaban ay nagpapasa ng malisyosong link na nagsasabing ito ay isang kinakailangang dokumento para sa paparating na pakikipag-ugnayan. Ang pag-click dito ay nagti-trigger ng pagkakasunud-sunod ng pag-redirect na nagreresulta sa paghahatid ng LNK file na naka-host sa WebDAV na nakatago bilang isang PDF, na ginagamit ang search-ms: protocol handler upang linlangin ang biktima.

Ang TAMECAT Backdoor: Modular, Persistent, at Adaptive

Kapag naisakatuparan na, kumokonekta ang LNK file sa isang subdomain na Cloudflare Workers na pinapatakbo ng attacker para kumuha ng batch script na nag-a-activate sa TAMECAT. Gumagamit ang PowerShell-based na framework na ito ng mga modular na bahagi para suportahan ang exfiltration, surveillance, at remote na pamamahala. Ang mga channel ng Command-and-Control (C2) nito ay sumasaklaw sa HTTPS, Discord, at Telegram, na tinitiyak ang katatagan kahit na ang isang avenue ay nakasara.

Para sa mga operasyong nakabatay sa Telegram, kinukuha at isinasagawa ng TAMECAT ang PowerShell code na ipinadala ng isang bot sa ilalim ng kontrol ng mga umaatake. Gumagamit ang Discord-based C2 ng isang webhook na nagpapadala ng mga detalye ng system at tumatanggap ng mga command mula sa isang paunang natukoy na channel. Iminumungkahi ng pagsusuri na maaaring i-customize ang mga command sa bawat nahawaang host, na nagpapagana ng coordinated na aktibidad laban sa maraming target sa pamamagitan ng isang nakabahaging imprastraktura.

Mga Kakayahang Sumusuporta sa Malalim na Espionage

Nag-aalok ang TAMECAT ng malawak na hanay ng mga tampok sa pangangalap ng katalinuhan. Kabilang sa mga ito:

• Pangongolekta at Pagkuha ng Data
• Pag-aani ng mga file na may mga tinukoy na extension
• Pag-extract ng data mula sa mga mailbox ng Google Chrome, Microsoft Edge, at Outlook
• Nagsasagawa ng tuluy-tuloy na pagkuha ng screenshot bawat 15 segundo
• Exfiltrating nakolektang impormasyon sa pamamagitan ng HTTPS o FTP
• Mga Panukala sa Pagnanakaw at Pag-iwas
• Pag-encrypt ng telemetry at mga payload
• Nakaka-obfuscating ang source code ng PowerShell
• Paggamit ng mga binary na nakatira sa labas ng lupa upang ihalo ang mga nakakahamak na aksyon sa normal na gawi ng system
• Pangunahin ang pagpapatupad sa memorya upang mabawasan ang mga artifact ng disk

Isang Nababanat at Naka-camouflag na Imprastraktura

Pinagsasama ng imprastraktura na sumusuporta sa SpearSpecter ang mga system na kinokontrol ng attacker na may mga lehitimong serbisyo sa cloud upang itago ang malisyosong aktibidad. Ang hybrid na diskarte na ito ay nagbibigay-daan sa tuluy-tuloy na paunang kompromiso, matibay na C2 na komunikasyon, at tago na pagkuha ng data. Ang disenyo ng pagpapatakbo ay sumasalamin sa isang banta na layunin ng aktor sa pangmatagalang pagpasok ng mga network na may mataas na halaga habang pinapanatili ang kaunting pagkakalantad.

Konklusyon

Binibigyang-diin ng SpearSpecter campaign ang patuloy na pagpipino ng APT42 sa mga operasyon ng espionage, pagsasama-sama ng pangmatagalang social engineering, adaptive malware, at matatag na imprastraktura upang isulong ang mga layunin ng intelligence. Ang patuloy at napaka-target na kalikasan nito ay naglalagay ng mga opisyal, tauhan ng depensa, at mga kaakibat na indibidwal sa patuloy na panganib, na nagpapatibay sa pangangailangan para sa mas mataas na pagbabantay at malakas na kalinisan sa seguridad sa lahat ng mga channel ng komunikasyon.