Gruppo di hacker APT42 sponsorizzato dallo Stato iraniano che prende di mira governo, ONG e organizzazioni intergovernative per raccogliere credenziali
Nel campo della sicurezza informatica, la vigilanza è fondamentale. Recenti rivelazioni di Mandiant di Google Cloud hanno fatto luce sulle nefande attività di APT42, un gruppo di spionaggio informatico sponsorizzato dallo stato che si ritiene operi per conto del Corpo delle Guardie della Rivoluzione Islamica (IRGC) in Iran. Con una storia che risale almeno al 2015, APT42 è emersa come una minaccia significativa, che prende di mira un’ampia gamma di entità tra cui ONG, istituzioni governative e organizzazioni intergovernative.
Operando sotto vari alias come Calanque e UNC788, il modus operandi di APT42 è tanto sofisticato quanto preoccupante. Utilizzando tattiche di ingegneria sociale, il gruppo si atteggia a giornalisti e organizzatori di eventi per infiltrarsi nelle reti dei suoi obiettivi. Sfruttando queste strategie ingannevoli, APT42 guadagna la fiducia di vittime ignare, consentendo loro di raccogliere preziose credenziali per l'accesso non autorizzato.
Uno dei tratti distintivi dell'approccio di APT42 è l'utilizzo di molteplici backdoor per facilitare le sue attività dannose. Il rapporto di Mandiant evidenzia l'implementazione di due nuove backdoor nei recenti attacchi. Questi strumenti clandestini consentono ad APT42 di infiltrarsi negli ambienti cloud, esfiltrare dati sensibili ed eludere il rilevamento sfruttando strumenti open source e funzionalità integrate.
L'analisi di Mandiant rivela ulteriormente la complessa infrastruttura utilizzata da APT42 nelle sue operazioni. Il gruppo orchestra estese campagne di raccolta delle credenziali, classificando i suoi obiettivi in tre cluster distinti. Dal mascherarsi da organizzazione mediatica all'impersonare servizi legittimi, APT42 impiega una varietà di tattiche per indurre le sue vittime a divulgare le proprie credenziali di accesso.
Inoltre, le attività di APT42 vanno oltre il tradizionale spionaggio informatico. Il gruppo ha dimostrato la volontà di adattare le proprie tattiche , come evidenziato dall'implementazione di backdoor personalizzate come Nicecurl e Tamecat. Questi strumenti, scritti rispettivamente in VBScript e PowerShell, consentono ad APT42 di eseguire comandi arbitrari ed estrarre informazioni sensibili da sistemi compromessi.
Nonostante le tensioni geopolitiche e i conflitti regionali, APT42 rimane ferma nella sua ricerca di raccolta di informazioni. Le scoperte di Mandiant sottolineano la resilienza e la tenacia del gruppo, che continua a prendere di mira entità associate a delicate questioni geopolitiche negli Stati Uniti, in Israele e altrove. Inoltre, la sovrapposizione tra le attività di APT42 e quelle di altri gruppi di hacker iraniani, come Charming Kitten, evidenzia la natura coordinata e multiforme delle operazioni informatiche dell'Iran.
Di fronte a tali minacce, le misure proattive di sicurezza informatica sono indispensabili. Le organizzazioni devono rimanere vigili, impiegando robusti protocolli di sicurezza e rimanendo al passo con gli ultimi sviluppi nella difesa informatica. Migliorando la collaborazione e la condivisione delle informazioni, la comunità globale può affrontare meglio il panorama delle minacce in evoluzione posto da gruppi come APT42.
In definitiva, le rivelazioni fornite da Mandiant servono a ricordare che fa riflettere sulla natura persistente e pervasiva delle minacce informatiche. Poiché la tecnologia continua ad avanzare, anche le nostre difese devono farlo. Solo attraverso un’azione collettiva e una diligenza costante possiamo sperare di mitigare i rischi posti dai gruppi di spionaggio informatico sponsorizzati dallo Stato come APT42.