Se ha observado que presuntos actores de amenazas de Irán impulsados por el espionaje utilizan puertas traseras como TWOSTROKE y DEEPROOT como parte de continuos ataques a las industrias aeroespacial, aeroespacial y de defensa en el Medio Oriente.
La actividad se atribuyó a un grupo de amenazas que está siendo rastreado por Mandiant, propiedad de Google. UNC1549 (también conocido como GalaxyGato, Nimbus Manticore o Subtle Snail), que fue documentado por primera vez por la firma de inteligencia de amenazas a principios del año pasado.
“UNC1549 operó desde finales de 2023 hasta 2025 y utilizó vectores de acceso inicial sofisticados, incluido el abuso de relaciones con terceros para obtener acceso (cambiar de proveedores de servicios a sus clientes), brotes de VDI de terceros y phishing altamente dirigido y relevante para el rol”, dijeron los investigadores Mohamed El-Banna, Daniel Lee, Mike Stokkel y Josh Goddard.
La revelación se produce unos dos meses después de que la empresa suiza de ciberseguridad PRODAFT vinculara al grupo de hackers con una campaña contra empresas de telecomunicaciones europeas, atacando con éxito a 11 organizaciones como parte de un ataque de ingeniería social dirigido al reclutamiento a través de LinkedIn.
Según Google, las cadenas de infección implican una combinación de campañas de phishing destinadas a robar credenciales o difundir malware y aprovechar relaciones de confianza con proveedores y socios externos. El segundo enfoque apunta a una estrategia particularmente inteligente a la hora de atacar a las empresas de defensa.
Si bien estas organizaciones suelen contar con defensas sólidas, este puede no ser el caso de los socios externos: un eslabón débil en la cadena de suministro que UNC1549 explota para su beneficio al obtener primero acceso a una entidad afiliada para infiltrarse en sus objetivos clave.
Esto a menudo implica un uso indebido de las credenciales asociadas con servicios como Citrix, VMWare y Azure Virtual Desktop and Application (VDA) que recopilan estas entidades externas para primero afianzarse y luego romper los límites de las sesiones virtualizadas para obtener acceso al sistema host subyacente e iniciar actividades de movimiento lateral dentro de la red de destino.
Otra ruta de entrada es utilizar correos electrónicos de phishing que afirman estar relacionados con oportunidades laborales para engañar a los destinatarios para que hagan clic en enlaces falsos y descarguen malware en sus computadoras. También se observó que UNC1549 apuntaba al personal de TI y a los administradores en estos ataques para obtener credenciales elevadas que les otorgarían un acceso más profundo a la red.
Una vez que los atacantes encuentran una manera de entrar, las actividades posteriores a la explotación incluyen reconocimiento, recopilación de credenciales, movimiento lateral, evasión de defensas y robo de información, así como la recopilación sistemática de documentación de red/TI, propiedad intelectual y correo electrónico.
Algunas de las herramientas personalizadas utilizadas por el actor de amenazas como parte de este esfuerzo se enumeran a continuación:
- MINIBICICLETA (también conocido como SlugResin), una conocida puerta trasera de C++ que recopila información del sistema y recupera cargas útiles adicionales para realizar reconocimientos, registrar pulsaciones de teclas y contenidos del portapapeles, robar credenciales de Microsoft Outlook, recopilar datos del navegador web de Google Chrome, Brave y Microsoft Edge, y tomar capturas de pantalla.
- DOS TIEMPOSuna puerta trasera de C++ que permite la recopilación de información del sistema, la carga de DLL, la manipulación de archivos y la persistencia
- RAÍCES PROFUNDASuna puerta trasera de Linux basada en Golang que admite la ejecución de comandos de shell, enumeración de información del sistema y operaciones de archivos
- FERROCARRIL CIUDADun túnel personalizado probablemente basado en Lastenzug, un proxy Socks4a de código abierto que se comunica a través de la infraestructura de nube de Azure
- LÍNEA FANTASMAun tunelizador de Windows basado en Golang que utiliza un dominio codificado para su comunicación
- MEZCLA DE ENCUESTAun tunelizador de Windows C++ que utiliza servidores de comando y control (C2) codificados para registrarse y descargar la configuración del tunelizador
- DCSYNCER.SLICKuna utilidad de Windows basada en DCSyncer para realizar ataques de escalada de privilegios de DCSync
- Almohadilla de choqueuna utilidad C++ de Windows para extraer credenciales almacenadas en navegadores web
- VISTAuna utilidad C de Windows que se utiliza específicamente para capturar capturas de pantalla a intervalos regulares y guardarlas en el disco duro
- TRAMPA DE CONFIANZAun malware que engaña al usuario para que ingrese las credenciales de su cuenta de Microsoft a través del símbolo del sistema de Windows
El atacante también utiliza programas disponibles públicamente como AD Explorer para consultar Active Directory; Atelier Web Remote Commander (AWRC) para establecer conexiones remotas, realizar reconocimientos, robar credenciales y entregar malware; y SCCMVNC para el control remoto. Además, se dice que el actor de amenazas tomó medidas para obstaculizar la investigación eliminando las claves de registro del historial de conexiones RDP.
“La campaña de UNC1549 se distingue por su enfoque en anticiparse a los investigadores y garantizar la durabilidad a largo plazo después del descubrimiento”, dijo Mandiant. “Instalan puertas traseras que parpadean silenciosamente durante meses y solo las activan para obtener acceso nuevamente después de que la víctima ha intentado exterminarlas”.
“Mantienen el sigilo y el comando y control (C2) aprovechando extensos shells SSH inversos (que restringen la evidencia forense) y dominios que imitan estratégicamente la industria de la víctima”.
About The Author
