Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware TAMECAT Achterdeur

TAMECAT Achterdeur

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT), Achterdeurtjes
Vertalen naar:

Er is een golf van spionageactiviteiten aan het licht gekomen die verband houdt met de Iraanse staatsgelieerde groep APT42. Analisten observeren een gerichte aanval op personen en organisaties die banden hebben met de belangen van de Islamitische Revolutionaire Garde (IRGC). Deze operatie, die begin september 2025 werd ontdekt en de codenaam SpearSpecter kreeg, demonstreert een geavanceerde combinatie van social engineering en op maat gemaakte malware-inzet, gericht op het verzamelen van inlichtingen.

Een bredere targetingstrategie

De exploitanten achter deze campagne hebben zich rechtstreeks gericht op hoge overheids- en defensiefunctionarissen en gebruiken zeer gepersonaliseerde benaderingen om hen te betrekken. Uitnodigingen voor prominente conferenties en aanbiedingen voor invloedrijke bijeenkomsten zijn veelvoorkomende lokkertjes. Een bepalend kenmerk van deze activiteit is de uitbreiding van de groep slachtoffers met familieleden, waardoor de druk toeneemt en het aanvalsoppervlak rond primaire doelwitten toeneemt.

Oorsprong en evolutie van APT42

APT42 werd eind 2022 openbaar gemaakt, kort nadat onderzoekers het in verband brachten met meerdere aan de IRGC gelieerde groepen. Hieronder vallen bekende clusters zoals APT35, Charming Kitten, ITG18, Mint Sandstorm en TA453. Het operationele handelsmerk van de groep is het vermogen om langdurige social engineering-operaties uit te voeren, die soms weken duren, terwijl het zich voordoet als vertrouwde contactpersonen om geloofwaardigheid te verwerven voordat schadelijke payloads of kwaadaardige links worden verspreid.

Eerder in juni 2025 ontdekten specialisten een andere grote campagne gericht op Israëlische cybersecurity- en technologieprofessionals. In dat geval deden de aanvallers zich voor als leidinggevenden en onderzoekers in zowel e-mail- als WhatsApp-communicatie. Hoewel ze verwant zijn, komen de activiteiten in juni en SpearSpecter voort uit twee verschillende interne clusters van APT42: cluster B richtte zich op diefstal van inloggegevens, terwijl cluster D zich richt op malware-inbraken.

Gepersonaliseerde misleidingstactieken

De kern van SpearSpecter is een flexibele aanvalsmethode die is gebaseerd op de waarde van het doelwit en de doelstellingen van de operators. Sommige slachtoffers worden doorgestuurd naar namaak vergaderportals die zijn ontworpen om inloggegevens te verzamelen. Anderen worden geconfronteerd met een meer ingrijpende aanpak die gebruikmaakt van een persistente PowerShell-backdoor genaamd TAMECAT, een tool die de groep de afgelopen jaren herhaaldelijk heeft gebruikt.

Veelvoorkomende aanvalsketens beginnen met imitatie op WhatsApp, waarbij de aanvaller een kwaadaardige link doorstuurt die beweert een vereist document te zijn voor een aanstaande afspraak. Door erop te klikken, wordt een omleidingsreeks geactiveerd die resulteert in de levering van een WebDAV-gehost LNK-bestand vermomd als een PDF. Hierbij wordt gebruikgemaakt van de zoek-ms: protocolhandler om het slachtoffer te misleiden.

De TAMECAT-achterdeur: modulair, persistent en adaptief

Na uitvoering maakt het LNK-bestand verbinding met een door een aanvaller beheerd Cloudflare Workers-subdomein om een batchscript op te halen dat TAMECAT activeert. Dit op PowerShell gebaseerde framework maakt gebruik van modulaire componenten ter ondersteuning van exfiltratie, bewaking en beheer op afstand. De Command-and-Control (C2)-kanalen omvatten HTTPS, Discord en Telegram, wat zorgt voor veerkracht, zelfs wanneer één kanaal is geblokkeerd.

Voor Telegram-gebaseerde bewerkingen haalt TAMECAT PowerShell-code op en voert deze uit die wordt doorgegeven door een bot onder controle van de aanvallers. Discord-gebaseerde C2 maakt gebruik van een webhook die systeemgegevens verzendt en opdrachten ontvangt via een vooraf gedefinieerd kanaal. Analyse suggereert dat opdrachten per geïnfecteerde host kunnen worden aangepast, waardoor gecoördineerde activiteiten tegen meerdere doelen via een gedeelde infrastructuur mogelijk zijn.

Mogelijkheden die diepe spionage ondersteunen

TAMECAT biedt een breed scala aan functies voor inlichtingenvergaring. Hieronder vallen:

  • Gegevensverzameling en -extractie
  • Bestanden met opgegeven extensies oogsten
  • Gegevens extraheren uit Google Chrome, Microsoft Edge en Outlook-mailboxen
  • Elke 15 seconden een continue schermafbeelding maken
  • Exfiltreren van verzamelde informatie via HTTPS of FTP
  • Stealth- en ontwijkingsmaatregelen
  • Telemetrie en payloads versleutelen
  • PowerShell-broncode verduisteren
  • Het gebruik van binaire bestanden die van het land leven om kwaadaardige acties te combineren met normaal systeemgedrag
  • Wordt voornamelijk in het geheugen uitgevoerd om schijfartefacten te minimaliseren

Een veerkrachtige en gecamoufleerde infrastructuur

De infrastructuur die SpearSpecter ondersteunt, combineert door aanvallers gecontroleerde systemen met legitieme cloudservices om kwaadaardige activiteiten te verhullen. Deze hybride aanpak maakt naadloze initiële inbreuk, duurzame C2-communicatie en geheime data-extractie mogelijk. Het operationele ontwerp weerspiegelt een kwaadwillende actor die van plan is om hoogwaardige netwerken op lange termijn te infiltreren, met minimale blootstelling.

Conclusie

De SpearSpecter-campagne onderstreept de voortdurende verfijning van APT42's spionageoperaties, waarbij langdurige social engineering, adaptieve malware en robuuste infrastructuur worden gecombineerd om inlichtingendoelen te bereiken. De aanhoudende en zeer gerichte aard ervan brengt ambtenaren, defensiepersoneel en aanverwante personen voortdurend in gevaar, wat de noodzaak van verhoogde waakzaamheid en strenge beveiligingshygiëne in alle communicatiekanalen onderstreept.

 

Trending

Meest bekeken

Bezig met laden...