Preventivo sconto multi-licenza
Database delle minacce Malware Porta sul retro di TAMECAT

Porta sul retro di TAMECAT

Entro Mezo nel Malware, Minaccia persistente avanzata (APT), Porte sul retro
Traduci in:

È emersa un'ondata di attività di spionaggio legate al gruppo filo-iraniano APT42, con gli analisti che hanno osservato un'azione mirata contro individui e organizzazioni legate agli interessi del Corpo delle Guardie della Rivoluzione Islamica (IRGC). Rilevata all'inizio di settembre 2025 e denominata SpearSpecter, questa operazione dimostra una sofisticata combinazione di ingegneria sociale e distribuzione mirata di malware mirati alla raccolta di informazioni.

Una strategia di targeting ampliata

Gli autori di questa campagna hanno preso di mira direttamente alti funzionari governativi e della difesa, utilizzando approcci altamente personalizzati per coinvolgerli. Inviti a conferenze di rilievo e offerte di incontri influenti sono esche comuni. Una caratteristica distintiva di questa attività è l'ampliamento del bacino di vittime, includendo i familiari, aumentando la pressione e ampliando la superficie di attacco attorno agli obiettivi primari.

Origini ed evoluzione di APT42

APT42 è diventato di dominio pubblico alla fine del 2022, poco dopo che i ricercatori lo avevano collegato a diversi gruppi associati all'IRGC. Tra questi, figurano cluster noti come APT35, Charming Kitten, ITG18, Mint Sandstorm e TA453, tra gli altri. Il tratto distintivo operativo del gruppo è la sua capacità di sostenere operazioni di ingegneria sociale di lunga durata, a volte della durata di settimane, impersonando contatti fidati per ottenere credibilità prima di inviare payload dannosi o link dannosi.

All'inizio di giugno 2025, gli specialisti hanno scoperto un'altra importante campagna rivolta a professionisti israeliani della sicurezza informatica e della tecnologia. In quel caso, gli aggressori si sono spacciati per dirigenti e ricercatori sia nelle comunicazioni via email che su WhatsApp. Sebbene correlate, l'attività di giugno e SpearSpecter provengono da due diversi cluster interni di APT42: il cluster B si concentra sul furto di credenziali, mentre il cluster D si concentra sulle intrusioni tramite malware.

Tattiche di inganno personalizzate

Al centro di SpearSpecter c'è una metodologia di attacco flessibile, modellata sul valore del bersaglio e sugli obiettivi degli operatori. Alcune vittime vengono reindirizzate a portali di meeting contraffatti, progettati per raccogliere credenziali. Altre affrontano un approccio più invasivo che utilizza una backdoor persistente di PowerShell chiamata TAMECAT, uno strumento ripetutamente utilizzato dal gruppo negli ultimi anni.

Le catene di attacco più comuni iniziano con l'impersonificazione su WhatsApp, dove l'aggressore inoltra un link dannoso che si spaccia per un documento necessario per un'interazione imminente. Cliccando sul link, si attiva una sequenza di reindirizzamento che si traduce nella consegna di un file LNK ospitato su WebDAV camuffato da PDF, sfruttando il gestore del protocollo search-ms: per ingannare la vittima.

La backdoor TAMECAT: modulare, persistente e adattiva

Una volta eseguito, il file LNK si connette a un sottodominio Cloudflare Workers gestito dall'aggressore per recuperare uno script batch che attiva TAMECAT. Questo framework basato su PowerShell utilizza componenti modulari per supportare l'esfiltrazione, la sorveglianza e la gestione remota. I suoi canali di comando e controllo (C2) si estendono su HTTPS, Discord e Telegram, garantendo resilienza anche quando una delle due vie viene chiusa.

Per le operazioni basate su Telegram, TAMECAT recupera ed esegue il codice PowerShell trasmesso da un bot sotto il controllo degli aggressori. Il C2 basato su Discord utilizza un webhook che invia dettagli di sistema e riceve comandi da un canale predefinito. L'analisi suggerisce che i comandi possono essere personalizzati per ogni host infetto, consentendo un'attività coordinata contro più obiettivi tramite un'infrastruttura condivisa.

Capacità che supportano lo spionaggio profondo

TAMECAT offre un'ampia gamma di funzionalità di raccolta di informazioni. Tra queste:

  • Raccolta ed estrazione dei dati
  • Raccolta di file con estensioni specificate
  • Estrazione di dati dalle cassette postali di Google Chrome, Microsoft Edge e Outlook
  • Esecuzione di acquisizioni di screenshot continue ogni 15 secondi
  • Esfiltrazione delle informazioni raccolte tramite HTTPS o FTP
  • Misure di furtività ed evasione
  • Crittografia della telemetria e dei payload
  • Offuscamento del codice sorgente di PowerShell
  • Utilizzo di binari "living-off-the-land" per combinare azioni dannose con il normale comportamento del sistema
  • Esecuzione principalmente in memoria per ridurre al minimo gli artefatti del disco

Un’infrastruttura resiliente e mimetizzata

L'infrastruttura che supporta SpearSpecter combina sistemi controllati dagli aggressori con servizi cloud legittimi per oscurare le attività dannose. Questo approccio ibrido consente una compromissione iniziale senza interruzioni, comunicazioni C2 durevoli ed estrazione nascosta dei dati. Il design operativo riflette un autore della minaccia intenzionato a infiltrarsi a lungo termine in reti di alto valore, mantenendo al contempo un'esposizione minima.

Conclusione

La campagna SpearSpecter sottolinea il continuo perfezionamento delle operazioni di spionaggio da parte di APT42, che combina ingegneria sociale a lungo termine, malware adattivo e un'infrastruttura solida per promuovere obiettivi di intelligence. La sua natura persistente e altamente mirata espone funzionari, personale della difesa e soggetti affiliati a un rischio continuo, rafforzando la necessità di una maggiore vigilanza e di una solida igiene della sicurezza su tutti i canali di comunicazione.

 

Tendenza

I più visti

Caricamento in corso...