Nazaro APT

Il gruppo di hacker Nazar è un APT (Advanced Persistent Threat) scoperto di recente. I ricercatori di malware ritengono che questo gruppo di hacker possa far parte del famigerato APT37. Quest'ultimo è un gruppo di hacker con sede in Cina, noto anche con lo pseudonimo di Emissary Panda. Nel 2017 c'è stata una fuga di notizie dal gruppo di hacker Shadow Brokers, che includeva alcuni dettagli interessanti sull'attività e l'arsenale di hacking dell'APT di Nazar.

Secondo la fuga di notizie di Shadow Brokers, il gruppo di hacker di Nazar è probabilmente attivo da un decennio ormai, dal 2010. La maggior parte degli obiettivi dell'APT di Nazar sembra essere situata in Iran. Nei dieci anni in cui l'APT di Nazar è stato attivo, il gruppo di hacker ha aggiornato il suo arsenale di strumenti e spesso ha cambiato regolarmente i propri obiettivi. Tra i loro più recenti strumenti di hacking c'è il backdoor Trojan EYService , che è una minaccia che opera in modo molto silenzioso e può evitare il rilevamento per periodi prolungati. Il trojan EYService è stato utilizzato nelle campagne APT di Nazar rivolte alle vittime iraniane. Questa minaccia è in grado di raccogliere informazioni, eseguire complesse operazioni di ricognizione e installare malware aggiuntivo sull'host infetto. Per evitare il rilevamento da parte di alcune soluzioni anti-malware, il payload del malware EYService è stato offuscato con l'aiuto di utilità legittime, nonché di strumenti di hacking disponibili pubblicamente. Questo è un trucco utilizzato da numerosi cyber criminali in tutto il mondo.

Nonostante il gruppo di hacker di Nazar sia attivo da oltre un decennio, non ci sono molte informazioni disponibili sulle loro campagne e obiettivi. Sembrerebbe che questo APT preferisca stare lontano dalle luci della ribalta e dai thread con attenzione. È probabile che i ricercatori di malware saranno in grado di scoprire di più su questi cyber criminali e sulle loro motivazioni in futuro.