Il gruppo di cyber spionaggio iraniano UNC1549, noto anche come Subtle Snail, è stato recentemente collegato a una sofisticata campagna contro aziende di telecomunicazioni europee, riuscendo a compromettere 34 dispositivi appartenenti a 11 organizzazioni. Queste aziende sono distribuite tra Canada, Francia, Emirati Arabi Uniti, Regno Unito e Stati Uniti. L'attacco sfrutta false offerte di lavoro su LinkedIn, con il gruppo che si finge personale delle risorse umane di società legittime per avvicinare dipendenti e convincerli a scaricare malware.

Il vettore d’infezione: MINIBIKE

Il vettore principale di infezione è il malware MINIBIKE, un backdoor modulare che comunica con server di comando e controllo attraverso l'infrastruttura cloud Azure, eludendo così i sistemi di rilevamento tradizionali. Il gruppo UNC1549 è attivo almeno dal 2022 e condivide alcune tecniche con altri gruppi iraniani, come Smoke Sandstorm e Crimson Sandstorm. Le campagne di spear phishing sono mirate soprattutto a ricercatori, sviluppatori e amministratori IT con privilegi elevati nei sistemi aziendali.

Le fasi dell’attacco

Il processo di attacco inizia con una fase di ricognizione su LinkedIn, individuando le persone chiave nelle aziende target. Successivamente, vengono inviate email di spear phishing per verificare l'attendibilità degli indirizzi e raccogliere ulteriori informazioni. Se il bersaglio mostra interesse per la falsa offerta lavorativa, viene indirizzato verso un sito che imita società reali come Telespazio o Safran Group. Qui, inserendo i propri dati, la vittima scarica un archivio ZIP contenente un eseguibile che attiva una catena di infezione basata su DLL side-loading, installando il malware MINIBIKE.

Funzionalità e tecniche di evasione

MINIBIKE esegue attività di raccolta dati, keylogging, furto di credenziali da Microsoft Outlook e browser come Chrome, Brave ed Edge, oltre a eseguire screenshot e a mantenere l’accesso persistente tramite modifiche al registro di Windows. Il gruppo si distingue per la creazione di DLL personalizzate per ogni vittima, con tecniche di evasione come anti-debugging e offuscamento del flusso di controllo. Inoltre, utilizza strumenti open source per aggirare le protezioni di cifratura dei browser e rubare password.

Obiettivi e strategie

Gli attaccanti cercano di ottenere informazioni strategiche come email, configurazioni VPN e file sensibili presenti nelle cartelle condivise, con l’obiettivo di mantenere l’accesso a lungo termine e facilitare attività di spionaggio strategico. La campagna UNC1549 dimostra una crescente sofisticazione delle minacce iraniane verso il settore telecomunicazioni e una forte capacità di adattamento delle tattiche di attacco.