El grupo proiraní TA450 usa URL maliciosas en PDF adjuntos

A través de una nueva investigación sobre ciberriesgos, Proofpoint ha detallado las técnicas de ingeniería social del grupo de amenaza persistente avanzada (APT) TA450, aliado con el Gobierno de Irán y conocido por los alias MuddyWater, Mango Sandstorm y Static Kitten.

El informe de esta compañía señala que, desde octubre de 2023, los investigadores han observado una actividad continua de TA450 apuntando a individuos israelíes pertenecientes a multinacionales de fabricación, tecnología y seguridad de la información, mediante cebos en hebreo y cuentas .IL comprometidas.

Pero, por primera vez, se ha detectado un cambio en las tácticas del grupo al intentar entregar una URL maliciosa en un archivo adjunto PDF en lugar de vincular el archivo en un email, usando una cuenta para el remitente coincidente con el contenido de un señuelo sobre pagos.

Según la investigación de Proofpoint, los mismos objetivos recibían múltiples correos de phishing con documentos PDF que tenían enlaces incrustados ligeramente diferentes a una variedad de sitios para compartir archivos, como Egnyte, Onehub, Sync y TeraBox.

“Atribuimos esta campaña a TA450 basándonos en sus tácticas, técnicas y procedimientos, así como en su orientación y análisis del malware, aunque esta última actividad es notable al marcar un giro en lo seguido por los ciberdelincuentes hasta ahora”, explica el equipo de investigadores de Proofpoint. “No se trata del primer caso de TA450 usando archivos con enlaces maliciosos como parte de su cadena de ataque, pero sí de entrega de esa URL en un PDF adjunto en lugar de vincularlo directamente en un correo electrónico”.