Tra luglio e ottobre 2023, i ricercatori di Proofpoint hanno osservato TA402 (Molerats, Gaza Cybergang, Frankenstein, WIRTE), gruppo APT storicamente attivo nell’interesse dei territori palestinesi, utilizzare una catena di infezione particolarmente complessa per colpire i governi del Medio Oriente tramite un nuovo downloader ad accesso iniziale che Proofpoint ha nominato IronWind. Il downloader era seguito da ulteriori fasi che consistevano nel download di shellcode.
In questo arco di tempo TA402 ha utilizzato tre varianti di questa catena di infezione – link dropbox, allegati di file XLL e RAR – con ognuna di esse che conduce costantemente al download di una DLL contenente il malware multifunzionale. In queste campagne, TA402 ha anche abbandonato l’uso di servizi cloud come Dropbox API, che i ricercatori di Proofpoint hanno osservato nelle attività del 2021 e 2022, per utilizzare infrastrutture controllate dall’attore per la comunicazione C2.
Questo attore si è sempre impegnato in attività estremamente mirate, rivolgendo ogni singola campagna a meno di cinque organizzazioni. Ha inoltre mantenuto una forte attenzione per gli enti governativi con sede in Medio Oriente e Nord Africa. A fine ottobre 2023, i ricercatori di Proofpoint non hanno osservato alcun cambiamento negli obiettivi di TA402, né alcuna indicazione di un mandato modificato nonostante l’attuale conflitto nell’area. Resta la possibilità che questo attore orienti in modo diverso le proprie risorse in base all’evolversi degli eventi.
“Quando si parla di cybercriminali allineati agli Stati, Corea del Nord, Russia, Cina e Iran sono generalmente tra i protagonisti. Tuttavia, TA402 si è sempre dimostrato un attore dal comportamento interessante, in grado di effettuare attività di spionaggio informatico altamente sofisticato, con particolare attenzione alla raccolta di informazioni,” spiega Joshua Miller, senior theat researcher di Proofpoint. “Il conflitto in corso in Medio Oriente non sembra aver ostacolato le sue operazioni, in quanto continua ad aggiornarsi e utilizzare nuovi e ingegnosi metodi di trasmissione per eludere gli sforzi di rilevamento. Con catene di infezione complesse e creando nuovo malware per attaccare i propri obiettivi, TA402 continua a impegnarsi in attività estremamente mirate con forte attenzione alle entità governative con sede in Medio Oriente e Nord Africa.”
In base al monitoraggio di Proofpoint, TA402 rimane persistente e conferma il suo approccio innovativo: l’uso costante di geofencing e di documenti esca continua a favorire i suoi sforzi di eludere il rilevamento. Sebbene TA402 sia focalizzato sulla raccolta di informazioni con un interesse specifico per le entità governative del Medio Oriente e del Nord Africa, il gruppo potrebbe trovarsi a dover adattare obiettivi o esche di social engineering in reazione al conflitto in corso tra Israele e Hamas.
