Un attacco watering hole ha colpito ben 25 siti web collegati alla minoranza curda, compromettendoli per raccogliere informazioni sensibili per oltre un anno e mezzo. La società di cybersecurity francese Sekoia ha rivelato dettagli sulla campagna, denominata SilentSelfie, descrivendo l'intrusione come di lunga durata, con i primi segnali di infezione risalenti a dicembre 2022. Questi compromessi strategici dei siti web sono stati progettati per distribuire quattro varianti diverse di un framework di furto di informazioni.

Le varianti variano dalla più semplice, che si limita a rubare la posizione dell'utente, a quelle più complesse che registrano immagini dalla fotocamera frontale e inducono gli utenti selezionati a installare un APK dannoso, ovvero un'applicazione utilizzata su Android. I siti web presi di mira includono quelli della stampa e dei media curdi, l'amministrazione di Rojava e le sue forze armate, nonché quelli relativi ai partiti politici di sinistra rivoluzionaria e alle organizzazioni nelle regioni curde e turche. Sekoia ha affermato che il metodo esatto con cui questi siti sono stati inizialmente compromessi rimane incerto.

Gli attacchi non sono stati attribuiti a nessun attore di minacce noto, suggerendo l'emergere di un nuovo cluster di minacce mirato alla comunità curda, precedentemente presa di mira da gruppi come StrongPity e BladeHawk. All'inizio di quest'anno, anche la società olandese di sicurezza Hunt & Hackett ha rivelato che i siti web curdi nei Paesi Bassi sono stati presi di mira da un attore di minacce connesso alla Turchia, noto come Sea Turtle.

Gli attacchi watering hole sono caratterizzati dal dispiegamento di un JavaScript dannoso responsabile della raccolta di varie informazioni dai visitatori del sito, tra cui la loro posizione, dati del dispositivo (come il numero di CPU, lo stato della batteria, la lingua del browser, ecc.) e l'indirizzo IP pubblico, tra gli altri.

Una variante dello script di ricognizione trovata su tre siti web (rojnews[.]news, hawarnews[.]com e targetplatform[.]net) è stata osservata anche mentre reindirizzava gli utenti a file APK Android dannosi, mentre altre varianti includono la capacità di tracciare gli utenti tramite un cookie denominato "sessionIdVal". L'app Android, secondo l'analisi di Sekoia, incorpora il sito web stesso come un WebView, raccogliendo clandestinamente informazioni di sistema, elenchi di contatti, posizione e file presenti nella memoria esterna in base ai permessi concessi.

Vale la pena notare che questo codice dannoso non ha alcun meccanismo di persistenza, ma viene eseguito solo quando l'utente apre l'applicazione RojNews. Una volta aperta l'applicazione, e dopo 10 secondi, il servizio LocationHelper inizia a inviare segnali in background all'URL rojnews[.]news/wp-includes/sitemaps/ tramite richieste HTTP POST, condividendo la posizione corrente dell'utente e attendendo comandi da eseguire.

Non si sa molto su chi sia dietro SilentSelfie, ma Sekoia ha valutato che potrebbe essere opera del governo regionale del Kurdistan in Iraq, basandosi sull'arresto del giornalista di RojNews, Silêman Ehmed, da parte delle forze del KDP nell'ottobre 2023. È stato condannato a tre anni di carcere nel luglio 2024. Anche se questa campagna watering hole è di bassa sofisticazione, è notevole per il numero di siti web curdi colpiti e per la sua durata.