Un gruppo di cyber criminali noto come UNC1860, affiliato presumibilmente al Ministero dell'Intelligence e della Sicurezza iraniano (MOIS), è stato identificato come facilitatore di accesso remoto a reti di alto valore, soprattutto nel Medio Oriente. La società Mandiant, di proprietà di Google, ha seguito l'attività di questo gruppo, rilevando somiglianze con altri set di intrusioni tracciati da Microsoft, Cisco Talos e Check Point, noti rispettivamente come Storm-0861, ShroudedSnooper e Scarred Manticore.

UNC1860 si distingue per una collezione di strumenti specializzati e backdoor passive che consentono l'accesso persistente a reti prioritarie, come quelle governative e delle telecomunicazioni. Il gruppo è emerso nel 2022 in seguito a cyber attacchi distruttivi contro l'Albania, utilizzando varianti di ransomware e wiper come ROADSWEEP, CHIMNEYSWEEP e ZEROCLEAR. Successivi attacchi hanno coinvolto nuovi wiper denominati No-Justice e BiBi.

Mandiant ha descritto UNC1860 come una minaccia formidabile che utilizza backdoor passive per mantenere accessi a lungo termine senza attirare l'attenzione. Tra gli strumenti utilizzati ci sono due controller di malware GUI, TEMPLEPLAY e VIROGREEN, che forniscono accesso remoto agli ambienti delle vittime tramite Remote Desktop Protocol (RDP). Questi controller permettono agli operatori di terze parti di eseguire attività di post-sfruttamento come la scansione interna e il dispiegamento di payload personalizzati.

Mandiant ha inoltre identificato sovrapposizioni tra UNC1860 e APT34

Entrambi i gruppi sono stati osservati colpire obiettivi in Iraq e sfruttare server vulnerabili esposti su Internet per installare web shells e droppers come STAYSHANTE e SASHEYAWAY. Questi strumenti permettono l'esecuzione di impianti come TEMPLEDOOR, FACEFACE e SPARKLOAD.

VIROGREEN è descritto come un framework personalizzato utilizzato per sfruttare server SharePoint vulnerabili, con capacità di controllo post-sfruttamento e gestione di payload. TEMPLEPLAY, d'altra parte, è un controller basato su .NET per TEMPLEDOOR, che supporta istruzioni per l'esecuzione di comandi, il caricamento e lo scaricamento di file e la connessione proxy a un server target.

Tra gli altri strumenti documentati da Mandiant ci sono OATBOAT, un loader per payload shellcode, e TOFUDRV, un driver Windows malevolo. TOFULOAD è un impianto passivo che utilizza comandi IOCTL non documentati per la comunicazione, mentre TEMPLEDROP è una versione riproposta di un software antivirus iraniano. TEMPLELOCK è una utility di evasione delle difese che può terminare il servizio Windows Event Log, e TUNNELBOI è un controller di rete capace di gestire connessioni RDP.

La scoperta di UNC1860 arriva mentre il governo degli Stati Uniti ha rivelato tentativi continui da parte di attori minacciosi iraniani di influenzare e minare le elezioni statunitensi, rubando materiale non pubblico dalla campagna di Donald Trump. Inoltre, il gruppo APT Lemon Sandstorm ha recentemente condotto attacchi ransomware in collaborazione con gruppi come NoEscape e BlackCat.