Il gruppo di hacker identificato come UNC1549, sospettato di avere legami con l’Iran, sta conducendo sofisticate campagne di cyber spionaggio contro i settori aerospaziale, aeronautico e della difesa nel Medio Oriente, utilizzando backdoor avanzate come TWOSTROKE e DEEPROOT. Questi attacchi sono caratterizzati da una strategia di accesso iniziale molto articolata, che sfrutta sia la compromissione di fornitori terzi sia campagne di phishing mirate. I criminali informatici sono riusciti a penetrare le difese di aziende ben protette proprio sfruttando le debolezze presenti nella catena di fornitura, spesso meno protetta rispetto ai target principali.

Accesso iniziale e tecniche di phishing

Per ottenere l’accesso alle reti, UNC1549 utilizza credenziali rubate relative a servizi come Citrix, VMWare e Azure Virtual Desktop, spesso raccolte da partner esterni già compromessi. Grazie a queste credenziali, gli hacker possono superare le limitazioni delle sessioni virtualizzate e muoversi lateralmente all’interno delle infrastrutture delle vittime, ottenendo un controllo più ampio. Un’altra tecnica consiste nell’invio di e-mail di spear phishing, spesso a tema lavorativo, per ingannare le vittime e indurle a scaricare malware. Particolarmente presi di mira sono i membri dei team IT e gli amministratori, al fine di ottenere privilegi elevati.

Strumenti malevoli utilizzati

• MINIBIKE: backdoor in C++ per furto di dati e credenziali
• TWOSTROKE: backdoor C++ per manipolazione file e persistenza
• DEEPROOT: backdoor Linux in Golang con comandi shell
• LIGHTRAIL e GHOSTLINE: tunnel personalizzati per comunicazione nascosta
• POLLBLEND: tunneler con server C2 hardcoded
• DCSYNCER.SLICK: strumento per attacchi DCSync
• CRASHPAD: estrazione credenziali da browser
• SIGHTGRAB: cattura screenshot a intervalli
• TRUSTTRAP: malware per furto di credenziali Microsoft tramite falsi prompt

Attività post-intrusione e tecniche di evasione

Dopo l’infiltrazione, le attività degli attaccanti comprendono la raccolta di informazioni sulla rete, il furto di credenziali, il movimento laterale, tecniche di evasione della difesa e l’esfiltrazione di dati sensibili quali documentazione tecnica, proprietà intellettuale ed e-mail. Il gruppo UNC1549 si distingue anche per la capacità di mantenere la persistenza nelle reti, installando backdoor che restano silenti per mesi e si attivano solo quando necessario, ad esempio dopo tentativi di bonifica da parte delle vittime.

Per ridurre le tracce forensi, gli attaccanti utilizzano tunnel SSH inversi e domini che imitano quelli delle aziende bersaglio. L’uso combinato di strumenti pubblici come AD Explorer, Atelier Web Remote Commander e SCCMVNC, insieme a tattiche di cancellazione delle tracce, rende queste campagne di cyber spionaggio particolarmente difficili da individuare e neutralizzare.