Con esta táctica, pretendían distribuir un nuevo conjunto de herramientas de malware llamado BlackSmith, que a su vez entregaba un troyano PowerShell denominado AnvilEcho. Este malware, que utiliza técnicas de cifrado y comunicación en red similares a las muestras de TA453 observadas por Proofpoint anteriormente, está diseñado para la recopilación y extracción de información. La principal diferencia es que en este caso se ha utilizado un único script de PowerShell en lugar del enfoque modular observado anteriormente.
A finales de julio, el grupo TA453 se puso en contacto con varias direcciones de correo electrónico de una importante personalidad judía haciéndose pasar por el director de investigación del Institute for the Study of War (ISW). Tras recibir una respuesta de la víctima, le enviaron una URL de DocSend que estaba protegida por contraseña y conducía a un documento que contenía un enlace al podcast legítimo del ISW. Es probable que los atacantes buscaran con esto normalizar que el objetivo hiciera clic en un enlace e introdujera una contraseña para que hiciera lo mismo al entregar el malware.
Tras otra respuesta de la víctima, el TA453 respondió con una URL de Google Drive que llevaba a un archivo llamado “Podcast Plan-2024.zip”. El ZIP contenía un LNK titulado “Podcast Plan 2024.lnk”, que a su vez contenía el conjunto de herramientas BlackSmith, que cargaba el troyano AnvilEcho.
“Nuestro análisis de esta campaña del grupo TA453 nos hace pensar que los desarrolladores que trabajan para ellos no han renunciado a usar “backdoors” modulares en PowerShell. Su objetivo es complicar la cadena de infección para evitar las detecciones mientras recopilan información”, explican desde Proofpoint. “Creemos que el conjunto de herramientas observado es el sucesor de GorjolEcho/PowerStar, TAMECURL, MischiefTut y CharmPower. Llevamos detectando “backdoors” de este grupo desde 2021, la única novedad es que ahora intentan agrupar todo en un único script de PowerShell de gran tamaño que hemos denominado AnvilEcho”.
AnvilEcho consta de múltiples funciones, muchas de las cuales son similares o están mejoradas con respecto a los módulos de malware utilizados por TA453 anteriormente. El script de aproximadamente 2200 líneas de PowerShell establece una serie de funciones para cifrar, codificar y filtrar información, y terminan con las dos funciones de nivel superior de Redo-It y Do-It.
Aunque los investigadores de la compañía no han podido vincular directamente al TA453 con los miembros del Cuerpo de la Guardia Revolucionaria Islámica (IRGC), sí consideran que actúan en apoyo de sus intereses y de los del gobierno iraní. En la actualidad, Proofpoint considera que el TA453 se superpone con Mint Sandstorm de Microsoft (anteriormente PHOSPHORUS) y es aproximadamente equivalente a APT42 de Mandiant y Yellow Garuda de PWC, todos los cuales pueden considerarse en general Charming Kitten.
“TA453 utiliza muchas técnicas diferentes de ingeniería social para tratar de convencer a los objetivos a participar con contenido malicioso. Al igual que la suplantación de múltiples personalidades, el envío de enlaces legítimos a un objetivo y la referencia a un podcast real de la organización pueden generar confianza en el usuario. Cuando un actor de amenazas establece una relación a largo plazo con un objetivo antes de entregar la carga maliciosa, aumenta sus probabilidades de éxito”, añaden desde la compañía. “Con BlackSmith, el TA453 ha creado un sofisticado conjunto de herramientas de recopilación de información y ha racionalizado sus funciones de malware, pasando de ser un conjunto de diferentes scripts individuales a un completo troyano PowerShell”.