Il gruppo di cyber criminali noto come UNC2428, legato all'Iran, è stato osservato mentre distribuiva un malware backdoor chiamato MURKYTOUR come parte di una campagna di ingegneria sociale a tema lavorativo, mirata a Israele nell'ottobre 2024. Secondo Mandiant, una società di sicurezza di proprietà di Google, UNC2428 è un attore di minacce allineato con l'Iran che si occupa di operazioni di spionaggio informatico.

La campagna di ingegneria sociale di UNC2428 ha preso di mira individui presentandosi come un'opportunità di reclutamento da parte di un appaltatore della difesa israeliana. Gli individui che mostravano interesse venivano reindirizzati a un sito che impersonava l'appaltatore e veniva chiesto loro di scaricare uno strumento per assistere nella candidatura al lavoro. Lo strumento, "RafaelConnect.exe", era un installer chiamato LONEFLEET che, una volta lanciato, presentava un'interfaccia utente grafica (GUI) per inserire informazioni personali e inviare il curriculum. Dopo l'invio, il malware MURKYTOUR veniva avviato come un processo in background, garantendo agli attaccanti un accesso persistente alla macchina compromessa.

Mandiant ha sottolineato

Mandiant ha sottolineato che i criminali informatici iraniani hanno incorporato interfacce grafiche per mascherare l'esecuzione e l'installazione del malware come applicazioni legittime. Tale aggiunta riduce i sospetti da parte degli individui presi di mira. La campagna sovrapposta è stata attribuita a un attore di minacce iraniano noto come Black Shadow, attivo su diversi settori in Israele, tra cui accademia, turismo, comunicazioni, finanza e tecnologia.

UNC2428 fa parte di diversi gruppi di minacce iraniani che hanno preso di mira Israele nel 2024. Un gruppo prominente è Cyber Toufan, che ha preso di mira utenti in Israele con un malware distruttivo noto come POKYBLIGHT. Anche un altro gruppo di minacce legato all'Iran, UNC3313, è stato coinvolto in operazioni di sorveglianza e raccolta di informazioni strategiche tramite campagne di spear-phishing. Questo gruppo ha distribuito malware tramite servizi di file-sharing popolari e ha utilizzato strumenti di monitoraggio remoto legittimi per evitare il rilevamento e mantenere l'accesso remoto.

Gli attori delle minacce iraniani, come UNC1549, sono stati osservati mentre incorporavano infrastrutture cloud nel loro modus operandi per garantire che le loro azioni si fondessero con i servizi prevalenti negli ambienti aziendali. Infine, il panorama delle minacce iraniane non sarebbe completo senza menzionare APT42, noto per i suoi sforzi di ingegneria sociale e costruzione di rapporti per raccogliere credenziali e consegnare malware personalizzato per l'esfiltrazione dei dati.