Un gruppo di hacker sponsorizzato dallo stato iraniano, noto come APT35 o Charming Kitten, è stato recentemente collegato a una sofisticata campagna di spear phishing che ha preso di mira giornalisti, esperti di sicurezza informatica e professori di informatica in Israele. Queste attività malevole sono state rilevate dopo l’inizio delle tensioni tra Iran e Israele, e hanno mostrato una particolare attenzione a figure di alto profilo nel settore tecnologico.

Gli attacchi sono partiti da contatti apparentemente legittimi tramite email o messaggi WhatsApp, in cui i cyber criminali si sono spacciati per assistenti o ricercatori di importanti dirigenti tecnologici. Le vittime sono state invitate a partecipare a presunte riunioni o a fornire assistenza su finti sistemi di rilevamento delle minacce basati su intelligenza artificiale, sfruttando l’attuale contesto geopolitico e la crescita degli attacchi informatici contro obiettivi israeliani.

Caratteristiche avanzate della campagna di phishing

Una caratteristica distintiva di questa nuova ondata di phishing è l’uso di strumenti di intelligenza artificiale per creare messaggi privi di errori grammaticali e con una struttura professionale, aumentando così la credibilità e la persuasività delle comunicazioni. Dopo aver instaurato un rapporto di fiducia, gli hacker indirizzano la vittima verso pagine di login Gmail contraffatte o finti inviti Google Meet, con l’obiettivo di sottrarre le credenziali di accesso agli account Google.

Il kit di phishing utilizzato dal gruppo APT35 è particolarmente avanzato: replica fedelmente l’aspetto delle pagine di autenticazione Google grazie a tecnologie web moderne come React e Single Page Application. Inoltre, sfrutta connessioni WebSocket in tempo reale per trasmettere immediatamente i dati rubati e implementa sistemi per nascondere il codice malevolo, rendendo difficile la rilevazione. Non solo, il kit è in grado di intercettare codici di autenticazione a due fattori (2FA), consentendo agli hacker di superare anche queste barriere di sicurezza.

Un’ulteriore tecnica prevede l’uso di Google Sites per ospitare pagine Google Meet fasulle: cliccando su un’immagine apparentemente innocua, la vittima viene reindirizzata alle pagine di phishing che attivano la procedura di furto delle credenziali.

APT35: una minaccia persistente e sofisticata

APT35, noto anche come Educated Manticore, CharmingCypress, Cobalt Illusion e con altri nomi, conferma così il suo ruolo di minaccia persistente e sofisticata a livello globale, soprattutto in momenti di crisi internazionale. Il gruppo dimostra un’elevata agilità nel registrare rapidamente nuovi domini e infrastrutture, mantenendo l’efficacia delle proprie campagne anche sotto costante osservazione delle autorità di sicurezza.