Nazar APT

El grup de pirateria Nazar és un APT (amenaça persistent avançada) descobert recentment. Els investigadors de programari maliciós creuen que aquest grup de pirateria pot formar part de l'infame APT37. Aquest últim és un grup de pirateria amb seu a la Xina, que també es coneix amb l'àlies Emissary Panda. El 2017 es va produir una filtració del grup de pirateria Shadow Brokers, que incloïa alguns detalls interessants sobre l'activitat i l'arsenal de pirateria de l'APT Nazar.

Segons la filtració de Shadow Brokers, el grup de pirateria Nazar probablement ha estat actiu des de fa una dècada, des del 2010. La majoria dels objectius de l'APT Nazar sembla que es troben a l'Iran. En els deu anys que el Nazar APT ha estat actiu, el grup de pirateria ha actualitzat el seu arsenal d'eines i sovint ha canviat d'objectiu amb regularitat. Entre les seves eines de pirateria més recents es troba el troià de la porta del darrere EYService, que és una amenaça que funciona de manera molt silenciosa i pot evitar la detecció durant períodes prolongats. El troià EYService es va utilitzar a les campanyes de Nazar APT dirigides a víctimes iranianes. Aquesta amenaça és capaç de recopilar informació, dur a terme operacions de reconeixement complexes i plantar programari maliciós addicional a l'amfitrió infectat. Per evitar la detecció d'algunes solucions anti-programari maliciós, la càrrega útil del programari maliciós EYService s'ha ofuscat amb l'ajuda d'utilitats legítimes, així com d'eines de pirateria disponibles públicament. Aquest és un truc que utilitzen nombrosos lladres cibernètics a tot el món.

Malgrat que el grup de pirateria Nazar ha estat actiu durant més d'una dècada, no hi ha molta informació disponible sobre les seves campanyes i objectius. Sembla que aquest APT prefereix mantenir-se allunyat dels focus i enfilar amb cura. És probable que els investigadors de programari maliciós puguin obtenir més informació sobre aquests ciberdelinqüents i les seves motivacions en el futur.