I ricercatori di cybersecurity hanno scoperto una nuova infrastruttura di rete creata da attori minacciosi iraniani per supportare attività legate al recente targeting di campagne politiche negli Stati Uniti. Il gruppo Insikt di Recorded Future ha collegato questa infrastruttura a un gruppo di hacker noto come GreenCharlie, un gruppo di minacce cibernetiche connesso all'Iran che si sovrappone a gruppi come APT42, Charming Kitten, Damselfly, Mint Sandstorm (ex Phosphorus), TA453 e Yellow Garuda.

L'infrastruttura del gruppo è meticolosamente progettata, utilizzando fornitori di DNS dinamico (DDNS) come Dynu, DNSEXIT e Vitalwerks per registrare domini utilizzati in attacchi di phishing. Questi domini spesso impiegano temi ingannevoli legati ai servizi cloud, alla condivisione di file e alla visualizzazione di documenti per attirare le vittime a rivelare informazioni sensibili o scaricare file dannosi. Esempi di tali domini includono termini come "cloud," "uptimezone," "doceditor," "joincloud" e "pageviewer". La maggior parte di questi domini è stata registrata utilizzando il dominio di primo livello (TLD) .info, un cambiamento rispetto ai precedenti .xyz, .icu, .network, .online e .site.

Gli avversari hanno una storia di attacchi di phishing altamente mirati che sfruttano tecniche di ingegneria sociale per infettare gli utenti con malware come POWERSTAR (noto anche come CharmPower e GorjolEcho) e GORBLE, recentemente identificato da Mandiant, di proprietà di Google, come utilizzato in campagne contro Israele e Stati Uniti. GORBLE, TAMECAT e POWERSTAR sono valutati come varianti dello stesso malware, una serie di impianti PowerShell in continua evoluzione distribuiti da GreenCharlie nel corso degli anni. Proofpoint ha dettagliato un altro successore di POWERSTAR chiamato BlackSmith, utilizzato in una campagna di spear-phishing che ha preso di mira una figura ebraica prominente a fine luglio 2024.

Il processo di infezione è spesso articolato in più fasi, che coinvolgono l'accesso iniziale tramite phishing, seguito dall'instaurazione della comunicazione con i server di comando e controllo (C2) e, infine, l'esfiltrazione dei dati o la consegna di payload aggiuntivi. I risultati di Recorded Future mostrano che l'attore delle minacce ha registrato un gran numero di domini DDNS da maggio 2024, con la società che ha anche identificato comunicazioni tra indirizzi IP basati in Iran (38.180.146[.]194 e 38.180.146[.]174) e l'infrastruttura di GreenCharlie tra luglio e agosto 2024.

Inoltre, è stato scoperto un collegamento diretto tra i cluster di GreenCharlie e i server C2 utilizzati da GORBLE. Si ritiene che le operazioni siano facilitate tramite Proton VPN o Proton Mail per offuscare le loro attività. Le operazioni di phishing di GreenCharlie sono altamente mirate, spesso impiegando tecniche di ingegneria sociale che sfruttano eventi attuali e tensioni politiche. Il gruppo ha registrato numerosi domini da maggio 2024, molti dei quali probabilmente utilizzati per attività di phishing. Questi domini sono collegati a fornitori di DDNS, che consentono rapidi cambiamenti negli indirizzi IP, rendendo difficile tracciare le attività del gruppo.

La divulgazione avviene in un periodo di aumento delle attività cibernetiche dannose dell'Iran contro gli Stati Uniti e altri obiettivi stranieri. Recentemente, Microsoft ha rivelato che più settori negli Stati Uniti e negli Emirati Arabi Uniti sono bersaglio di un attore minaccioso iraniano con nome in codice Peach Sandstorm (noto anche come Refined Kitten). Inoltre, le agenzie governative statunitensi hanno affermato che un altro gruppo di hacker sostenuto dallo stato iraniano, Pioneer Kitten, ha operato come broker di accesso iniziale (IAB) per facilitare attacchi ransomware contro i settori dell'istruzione, della finanza, della sanità, della difesa e del governo negli Stati Uniti, in collaborazione con i gruppi NoEscape, RansomHouse e BlackCat.