Charming Kitten e il cyberspionaggio iraniano

Charming Kitten è un gruppo state-sponsored iraniano, attivo almeno dal 2011, che si è distinto per lo sfruttamento di sofisticate tecniche di social engineering in numerose campagne di spionaggio, soprattutto contro Stati Uniti ed Israele. Inoltre, risulta particolarmente attivo nel monitoraggio dell’opposizione all’attuale regime e delle minoranze religiose del Paese.

L’avversario – che gli analisti hanno variamente ribattezzato Phosphorus, APT35, APT42 e Newsbeef – sfrutta TTP sovrapponibili a quelle del Corpo delle Guardie della Rivoluzione Islamica (IRGC), specializzato in operazioni di intelligence finalizzate a prevenire potenziali sovversioni politiche e a contrastare la penetrazione culturale occidentale.

Le sue potenzialità di attacco sono ampliate da alcuni sottogruppi. Uno di essi, DEV-0270 (Nemesis Kitten) ha sfruttato vulnerabilità note in Microsoft Exchange (soprattuto ProxyLogon) e Fortinet (CVE-2018-13379), oltre a Log4Shell di Log4j, per operazioni ransomware di tipo opportunistico.

L’abilità nelle tecniche di social engineering

Recenti analisi indicano che Charming Kitten ha intensificato le campagne di spear phishing contro target di alto profilo in Israele e negli USA. In particolare, ha preso di mira funzionari governativi, diplomatici, persone che lavorano nei think tank, ONG e istituzioni accademiche che partecipano ai dialoghi di politica estera, nonché individui legati alle presidenziali USA.

A metà luglio, ad esempio, il gruppo ha contattato una figura di spicco della comunità ebraica, fingendo di essere il Direttore della Ricerca dell’Institute for the Study of War, un think tank con sede a Washington, che lo invitava a partecipare a un podcast. L’obiettivo è stato infettare il suo computer con AnvilEcho, un trojan per la raccolta e l’esfiltrazione di informazioni.

Questa offensiva segue le stesse strategie di una serie di attacchi risalenti all’autunno del 2023 in cui l’APT si è spacciato per il Rasanah International Institute for Iranian Studies (IIIS). In un caso specifico, un finto dipendente del’IIIS ha contattato via e-mail un esperto di politica e lo ha invitato a partecipare a un falso webinar.

Un copione simile è stato inscenato a partire da novembre 2023 per distribuire malware contro individui di alto profilo che lavorano su questioni mediorientali presso università e istituti di ricerca in Belgio, Francia, Gaza, Israele, Regno Unito e Stati Uniti. I target, quella volta, sono stati contattati da un finto collaboratore di un’autorevole testata giornalistica con la scusa di richiedere una valutazione su un articolo dedicato alla guerra tra Israele e Hamas. 

A fine agosto di quest’anno, Meta ha riferito di aver bloccato un piccolo gruppo di account WhatsApp che si spacciavano per agenti di supporto di alcune aziende tecnologiche, come AOL, Google, Yahoo e Microsoft. I profili sarebbero stati utilizzati da Charming Kitten in un’operazione di social engineering contro funzionari politici e diplomatici e altre figure pubbliche in Israele, Palestina, Iran, Stati Uniti e Regno Unito.

Controspionaggio e monitoraggio interno

Nelle ultime settimane sono stati divulgati dettagli di un’operazione di controspionaggio interno che rientrerebbe in uno schema avviato almeno nel 2017. Per raggiungere i target, gli attaccanti hanno utilizzato account di social media come X e Virasty che pubblicizzavano una rete di oltre 35 falsi siti di recruiting. In particolare, si sono spacciati per aziende di risorse umane, come Optima HR o Kandovan HR.

Lo scorso anno, l’Ufficio federale tedesco per la protezione della Costituzione (BfV) ha rilasciato un advisory nel quale si informava che l’APT stava prendendo di mira i dissidenti e gli esuli iraniani in Germania.

Sempre sul versante interno, è stata attribuita a Charming Kitten una campagna di spear-phishing contro la comunità religiosa Baha’i. I seguaci del profeta Bahá’u’lláh costituiscono il secondo gruppo religioso del Paese e sono oggetto di persecuzione da parte del regime di Teheran dal 1979, anno della rivoluzione. Le persone di interesse sono state contattate sfruttando una falsa corrispondenza e-mail tra un ufficiale del Dipartimento di Stato USA e un ricercatore universitario israeliano.

La rappresaglia contro i sabotaggi delle infrastrutture in Iran

Un sottogruppo di Charming Kitten avrebbe partecipato ad uno scambio di sabotaggi mirati contro infrastrutture critiche che vede l’Iran ingaggiato contro Israele e USA.  Nella primavera del 2023, sono stati rivelati attacchi diretti contro alcune infrastrutture critiche negli Stati Uniti, avvenuti tra la fine del 2021 e la metà del 2022. Fra i target figurano porti, società energetiche, sistemi di transito e una delle principali società di utility e gas degli Stati Uniti. Si sospetta che l’attività sia stata una rappresaglia in risposta alle offensive in Iran che hanno bloccato il traffico marittimo in un importante porto nel maggio 2020, causato ritardi ai treni nel luglio 2021 e interrotto i sistemi di pagamento delle stazioni di servizio in tutto il Paese alla fine del 2021.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence