Almeno dalla fine del 2020, i ricercatori di Proofpoint hanno osservato delle anomalie nell’attività di phishing di TA453 (che si sovrappone ai gruppi pubblicamente noti come Charming Kitten, PHOSPHORUS e APT42), in cui l’attore della minaccia si è allontanato dalle sue tradizionali tecniche di phishing e dalle vittime target. Un tratto distintivo delle campagne e-mail di TA453 è di colpire quasi sempre accademici, ricercatori, diplomatici, dissidenti, giornalisti, operatori dei diritti umani e utilizzare web beacon nel corpo del messaggio prima di tentare di raccogliere le credenziali dell’obiettivo. Tali campagne possono iniziare con settimane di conversazioni apparentemente innocue da account creati dall’attore prima del tentativo di attacco.
Confrontandole, le campagne anomale di TA453 hanno preso di mira, tra gli altri, ricercatori in ambito medicale, un ingegnere aerospaziale, un agente immobiliare e agenzie di viaggio. Hanno sfruttato tecniche di phishing nuove per TA453, tra cui account compromessi, malware ed esche provocatorie. Proofpoint ritiene con moderata sicurezza che questa attività atipica rifletta il supporto dinamico di TA453 ai requisiti di intelligence ad hoc dell’Islamic Revolutionary Guard Corps (IRGC). Questa attività fornisce inoltre ai ricercatori una migliore comprensione del mandato dell’IRGC e una visione del potenziale supporto di TA453 alla sorveglianza e ai tentativi di operazioni cinetiche dell’IRGC.
