Se ha observado que el actor de amenazas vinculado a Irán TA453 (también conocido como Charming Kitten) lanzó un sofisticado ataque de phishing utilizando un kit de herramientas de malware basado en PowerShell denominado «BlackSmith». La campaña, observada por Proofpoint, comenzó en julio de 2024 y tuvo como objetivo a una figura judía prominente a través de una serie de correos electrónicos que suplantaban al Instituto para el Estudio de la Guerra (ISW). Tácticas de ingeniería social Haciéndose pasar por el Director de Investigación del ISW, TA453 invitó al objetivo a participar en un podcast, una táctica destinada a generar confianza. Una vez establecida la relación, el grupo envió un enlace malicioso disfrazado de una URL de podcast legítima, que finalmente entregó el malware BlackSmith. «TA453 utiliza muchas técnicas de ingeniería social diferentes para tratar de convencer a los objetivos de que interactúen con contenido malicioso», explicó Proofpoint. «Al igual que la suplantación de identidad de varias personas, enviar enlaces legítimos a un objetivo y hacer referencia a un podcast real de la organización suplantada puede generar confianza en el usuario. Cuando un actor de amenazas establece una conexión con un objetivo a lo largo del tiempo antes de entregar la carga útil maliciosa, aumenta la probabilidad de explotación”. Capacidades del malware BlackSmith BlackSmith es un troyano PowerShell modular diseñado para recopilar inteligencia y exfiltrar datos confidenciales. Este malware representa una evolución de los conjuntos de herramientas TA453 anteriores, agilizando varias funciones en un solo script, denominado «AnvilEcho». AnvilEcho realiza tareas como comunicación de red, cifrado de datos y reconocimiento, todo ello mientras evade la detección del software antivirus. El análisis de Proofpoint muestra que el malware BlackSmith incluye múltiples etapas, desde un vector de infección inicial que utiliza un archivo LNK malicioso hasta la implementación de AnvilEcho. Este troyano PowerShell es capaz de realizar actividades avanzadas, incluida la exfiltración de archivos, la captura de capturas de pantalla e incluso la posible grabación de audio. Según Proofpoint, la campaña de TA453 subraya el enfoque continuo del grupo en el espionaje y la recopilación de inteligencia, probablemente en apoyo del gobierno iraní. El informe destaca la capacidad del grupo para adaptarse y refinar sus técnicas, lo que representa una amenaza significativa para organizaciones e individuos en todo el mundo. Lea más sobre piratería patrocinada por el estado: El FSB de Rusia detrás de una campaña masiva de espionaje de phishing «Si bien los analistas de Proofpoint no pueden vincular a TA453 directamente con miembros individuales del Cuerpo de la Guardia Revolucionaria Islámica (CGRI), Proofpoint continúa evaluando que TA453 opera en apoyo del CGRI, específicamente la Organización de Inteligencia del CGRI (CGRI-IO)», escribió la firma. «Esta evaluación se basa en una variedad de evidencia, incluidas las superposiciones en la numeración de unidades entre los informes de Charming Kitten y las unidades del CGRI».