Nel mondo della sicurezza informatica, un nuovo attacco mirato ha attirato l'attenzione degli esperti. Si tratta di una campagna di phishing altamente mirata che ha preso di mira "meno di cinque" entità negli Emirati Arabi Uniti per distribuire un nuovo backdoor in Golang, chiamato Sosano. Questa attività malevola è stata diretta specificamente contro organizzazioni nel settore dell'aviazione e delle comunicazioni satellitari, come rilevato da Proofpoint nell'ottobre 2024.

L'aspetto degno di nota di questa catena di attacco è che l'avversario ha sfruttato l'accesso a un account email compromesso appartenente all'azienda indiana INDIC Electronics per inviare messaggi di phishing. Questa azienda era in rapporti commerciali di fiducia con tutte le vittime, e le esche erano personalizzate per ciascuna di esse. L'attacco, tracciato sotto il nome di UNK_CraftyCamel, ha utilizzato un file ZIP malevolo che conteneva file poliglotta per installare il backdoor Sosano.

Le email contenevano URL che indirizzavano a un dominio fasullo che imitava l'azienda indiana ("indicelectronics[.]net"), ospitando un archivio ZIP con un file XLS e due file PDF. Tuttavia, il file XLS era in realtà un collegamento di Windows (LNK) camuffato da documento Excel, mentre i PDF erano poliglotti: uno con un file HTML Application (HTA) e l'altro con un archivio ZIP.

L'attacco prevedeva l'uso del file LNK per lanciare cmd.exe e successivamente mshta.exe per eseguire il file poliglotta PDF/HTA, portando all'esecuzione di uno script HTA che conteneva istruzioni per estrarre i contenuti dell'archivio ZIP presente nel secondo PDF. Uno dei file nel secondo PDF era un collegamento internet (URL) responsabile del caricamento di un binario, che cercava un file immagine, opportunamente decodificato e eseguito come DLL backdoor chiamato Sosano.

Il backdoor Sosano, scritto in Golang, ha funzioni limitate per stabilire un contatto con un server di comando e controllo (C2) e attendere ulteriori istruzioni, come cambiare directory, enumerare contenuti, scaricare e lanciare payload sconosciuti, cancellare directory o eseguire comandi di shell.

Proofpoint ha evidenziato che la tecnica impiegata da UNK_CraftyCamel non coincide con altri attori o gruppi di minaccia noti. Secondo Joshua Miller, ricercatore di minacce APT presso Proofpoint, questa campagna potrebbe essere opera di un avversario allineato con l'Iran, potenzialmente affiliato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC). Gli obiettivi selezionati sono cruciali per la stabilità economica e la sicurezza nazionale, rendendoli bersagli di valore nel contesto geopolitico più ampio.