Se ha observado que se ha observado que una campaña de afición cibernética de larga duración vinculada a un grupo de amenazas alineado en Irán dirige a entidades gubernamentales en Irak y al Gobierno Regional del Kurdistán (KRG). Según una nueva investigación de ESET, el grupo, denominado «Bladedfeline», ha desarrollado significativamente su conjunto de herramientas desde que comenzaron sus actividades iniciales en 2017. Lo nuevo es el uso de un conjunto sofisticado de herramientas de malware diseñadas para el sigilo y la persistencia. Entre ellos se encuentra una puerta trasera recientemente descubierta llamada Whisper, que aprovecha las cuentas de Microsoft Exchange Webmail para recibir comandos y exfiltrados datos a través de archivos adjuntos de correo electrónico. Este enfoque encubierto permite a los atacantes mantener el acceso mientras evitan los métodos de detección tradicionales. Nuevas capacidades de malware descubiertas Además de Whisper, los investigadores descubrieron un módulo de Servicios de Información de Internet malicioso (IIS) conocido como Primecache. Esta puerta trasera basada en servidor funciona de manera sigilosa, permaneciendo oculta dentro de los procesos legítimos del servidor web. Junto a estas, también se implementaron dos herramientas de túnel inverso, LARET y Pinar, y múltiples utilidades posteriores a la compromiso. Las herramientas permiten al grupo: mantener el acceso a largo plazo a los objetivos de alto valor evade la detección utilizando métodos de comunicación cifrados ejecutar comandos de forma remota a través de cuentas de correo web legítimas oculta la actividad maliciosa de la actividad maliciosa dentro del servidor de confianza los procesos de la reutilización de la reutilización del malware conocido vinculado a la operación OilRig más amplia que sugiere que la línea de la línea bladed puede operar como un subgrupo dentro de este marco más grande. Esta evaluación está respaldada por similitudes en diseño técnico y funcionalidad de malware. Lea más sobre los antecedentes y las tácticas de OilRig: OilRig APT evoluciona significativamente en los últimos ataques de infraestructura crítica La creciente sofisticación refleja la intención estratégica de ESET dijo que el acceso inicial dentro del KRG se remonta al menos en 2017. Más recientemente, el grupo ha expandido sus operaciones para incluir los cuerpos gubernamentales adicionales de Iraqi y un proveedor de telecomunicaciones en Uzbekistan. Estas actividades demuestran un patrón claro de instituciones de orientación involucradas en la infraestructura de gobierno y comunicaciones. Los investigadores encontraron que las herramientas de malware actualizadas activas en estos entornos recientemente a principios de 2024, confirmando que Bladedfeline continúa refinando sus técnicas y ampliando su alcance operativo. El cambio de los posibles de fondo simples a los implantes modulares y con capacidad sigilosa destaca la intención del grupo de mantener un acceso profundo a entornos políticamente sensibles. ESET advirtió que las tácticas en evolución subrayan una estrategia más amplia de los actores alineados con Irán para llevar a cabo la recopilación de inteligencia en la región sin generar alarmas. «Esperamos descubrir que Bladedfeline persistirá con el desarrollo del implante para mantener y expandir el acceso dentro de su conjunto de víctimas comprometidas, probablemente para el ciberdispone», concluyó la compañía.