Il gruppo di cyber spionaggio BladedFeline, ritenuto legato all’Iran, è stato recentemente attribuito a una nuova ondata di attacchi informatici focalizzati su funzionari governativi iracheni e curdi. Attivo almeno dal 2017, BladedFeline viene considerato dagli esperti una sotto-unità del noto gruppo OilRig, riconosciuto come uno dei principali attori di minacce statali iraniani. L’azione del gruppo si concentra nel mantenere e ampliare l’accesso non autorizzato a organizzazioni governative in Iraq e nella regione del Kurdistan, attraverso lo sviluppo e l’impiego di malware su misura.

Attività recenti e strumenti utilizzati

BladedFeline è stato individuato durante campagne di attacco contro funzionari curdi, utilizzando backdoor come Shahmaran, progettate per eseguire comandi remoti, gestire file e manipolare directory sulle macchine infette. Nel corso del 2024, il gruppo ha intensificato le sue attività contro entità governative irachene e diplomatiche, sfruttando nuovi malware personalizzati tra cui Whisper, Spearal e Optimizer.

• Whisper: backdoor C#/.NET che utilizza un account webmail compromesso su Microsoft Exchange per comunicare con gli attaccanti tramite allegati email.
• Spearal: sfrutta la tecnica del DNS tunneling per il command and control.
• Optimizer: rappresenta un’evoluzione di Spearal, con modifiche principalmente estetiche ma funzionalità simili.

Oltre a questi malware, BladedFeline ha utilizzato strumenti di tunneling come Laret e Pinar per mantenere l’accesso alle reti bersaglio, oltre a moduli malevoli per server IIS come PrimeCache, molto simile al backdoor RDAT già usato da OilRig. PrimeCache agisce come una backdoor passiva, in ascolto di richieste HTTP specifiche per ricevere comandi e esfiltrare dati.

Tecniche di accesso iniziale

Le tecniche di accesso iniziale impiegate rimangono in parte sconosciute, ma si sospetta l’utilizzo di vulnerabilità su applicazioni esposte su Internet per introdurre web shell (come Flog) e mantenere l’accesso remoto persistente. In alcuni attacchi, è stato anche rilevato l’uso di impianti Python come Slippery Snakelet, in grado di eseguire comandi e trasferire file.

Obiettivi e legami con OilRig

L’obiettivo principale di BladedFeline è il cyber spionaggio, con particolare attenzione verso informazioni diplomatiche e finanziarie irachene e curde, oltre a colpire infrastrutture strategiche come provider di telecomunicazioni regionali. Il legame con OilRig è confermato da numerose sovrapposizioni di strumenti e modalità operative, mentre il focus persistente su obiettivi governativi dimostra l’interesse strategico dell’Iran nel mantenere la propria influenza nella regione.