Grup de pirates informàtics APT42 patrocinat per l'estat iranià dirigit a governs, ONG i organitzacions intergovernamentals per recollir credencials
En l'àmbit de la ciberseguretat, la vigilància és primordial. Revelacions recents de Mandiant de Google Cloud aclareixen les nefastes activitats d'APT42, un grup d'espionatge cibernètic patrocinat per l'estat que es creu que opera en nom del Cos de la Guàrdia Revolucionària Islàmica (IRGC) a l'Iran. Amb una història que es remunta almenys al 2015, l'APT42 s'ha convertit en una amenaça important, dirigida a una àmplia gamma d'entitats, com ara ONG, institucions governamentals i organitzacions intergovernamentals.
Funcionant sota diversos àlies com Calanque i UNC788, el modus operandi d'APT42 és tan sofisticat com preocupant. Utilitzant tàctiques d'enginyeria social, el grup es fa passar per periodistes i organitzadors d'esdeveniments per infiltrar-se a les xarxes dels seus objectius. Aprofitant aquestes estratègies enganyoses, l'APT42 s'aconsegueix la confiança de les víctimes insospitades, cosa que els permet recollir credencials valuoses per a l'accés no autoritzat.
Una de les característiques de l'enfocament d'APT42 és la utilització de múltiples portes del darrere per facilitar les seves activitats malicioses. L'informe de Mandiant destaca el desplegament de dues noves portes del darrere en atacs recents. Aquestes eines clandestines permeten a APT42 infiltrar-se en entorns de núvol, exfiltrar dades sensibles i evadir la detecció aprofitant eines de codi obert i funcions integrades.
L'anàlisi de Mandiant revela encara més la complexa infraestructura emprada per APT42 en les seves operacions. El grup organitza campanyes àmplies de recollida de credencials, categoritzant els seus objectius en tres grups diferents. Des de fer-se passar per organitzacions de mitjans fins a suplantar la identitat de serveis legítims, APT42 utilitza una varietat de tàctiques per atraure les seves víctimes perquè divulguin les seves credencials d'inici de sessió.
A més, les activitats d'APT42 van més enllà del ciberespionatge tradicional. El grup ha demostrat la voluntat d' adaptar les seves tàctiques , com ho demostra el desplegament de portes posteriors personalitzades com Nicecurl i Tamecat. Aquestes eines, escrites en VBScript i PowerShell respectivament, permeten a l'APT42 executar ordres arbitràries i extreure informació sensible de sistemes compromesos.
Malgrat les tensions geopolítiques i els conflictes regionals, l'APT42 es manté ferma en la seva recerca de la recollida d'intel·ligència. Les troballes de Mandiant subratllen la resiliència i la persistència del grup, ja que continua dirigint-se a entitats associades a problemes geopolítics sensibles als EUA, Israel i més enllà. A més, la superposició entre les activitats d'APT42 i les d'altres grups de pirates iranians, com ara Charming Kitten, posa de manifest la naturalesa coordinada i polièdrica de les operacions cibernètiques de l'Iran.
Davant d'aquestes amenaces, són imprescindibles mesures proactives de ciberseguretat. Les organitzacions han de mantenir-se vigilants, emprant protocols de seguretat sòlids i estar al dia dels últims desenvolupaments en ciberdefensa. En millorar la col·laboració i l'intercanvi d'informació, la comunitat global pot afrontar millor el panorama d'amenaces en evolució que plantegen grups com APT42.
En última instància, les revelacions proporcionades per Mandiant serveixen com a recordatori de la naturalesa persistent i generalitzada de les amenaces cibernètiques. A mesura que la tecnologia continua avançant, també ho han de fer les nostres defenses. Només mitjançant una acció col·lectiva i una diligència inquebrantable podem esperar mitigar els riscos que plantegen els grups d'espionatge cibernètic patrocinats per l'estat com APT42.