Los hackers del grupo iraní de ciberespionaje “Charming Kitten” están ejecutando un elaborado plan de múltiples pasos para instalar malware en los equipos de sus víctimas. En esta operación, los atacantes se hacen pasar por periodistas de reconocidos medios de comunicación y establecen contacto con sus víctimas potenciales a través de diferentes medios, incluyendo llamadas telefónicas, para ganar su confianza y robar sus datos.
Según informó la compañía israelí de seguridad informática Clearsky, los hackers eligen a sus víctimas mediante la plataforma LinkedIn, desde donde establecen el contacto inicial. En los casos que se conocen, los atacantes se hicieron pasar por periodistas del periódico alemán Deutsche Welle y el israelí Jewish Journal.
Desde allí, inician conversaciones con sus víctimas potenciales hasta pedirles su número de whatsapp para entrevistarlos sobre temas relacionados con las políticas de Irán. Después de esta conversación, y cuando han ganado la confianza de sus víctimas, les envían un enlace malicioso.
La víctima cree que el enlace dirige a un seminario web, pero en realidad es un sitio phishing o un archivo ZIP que intenta extraer sus datos personales con un programa malicioso.
Hasta ahora, los ataques han estado dirigidos principalmente a sectores gubernamentales, militares y diplomáticos; instituciones académicas, organizaciones públicas y privadas vinculadas con países europeos, Estados Unidos, el Reino Unido, Arabia Saudita y la comunidad Bahá’í.
“En esta campaña, observamos que los atacantes estaban dispuestos a hablar por teléfono de forma directa con la víctima mediante llamadas de WhatsApp, usando un número de teléfono legítimo de Alemania. Esta táctica no es común y pone en riesgo la identidad de los atacantes”, dijeron los investigadores de Clearsky.
Charming Kitten − que también se conoce con los nombres APT35, Parastoo, NewsBeef, y Newscaster − ha estado acosando a sus víctimas al menos desde 2017. Entre sus blancos principales estaban los activistas de derechos humanos, investigadores académicos y medios de comunicación.
Sin embargo, esta es la primera vez que establece un contacto con las personas atacadas mediante llamadas. Aunque esta táctica es nueva para Charming Kitten, grupos de hackers en Corea del Norte han estado utilizando métodos similares para atacar a sus víctimas por varios años.
Fuentes
Iranian cyber espionage group “Charming Kitten” targets journalist via WhatsApp, LinkedIn • Tech Sprouts
Iranian Hackers pose as Journalists in email scam • Cyber Safe
Iranian Hackers Pose as Journalists to Trick Victims Into Installing Malware • The Hacker News
Hackers de un grupo iraní se hacen pasar por periodistas y contactan por teléfono a sus víctimas