Il gruppo di cyber spionaggio APT42, supportato dallo stato iraniano, è stato recentemente individuato mentre conduce una nuova e sofisticata campagna di spionaggio chiamata SpearSpecter. Questa operazione prende di mira funzionari governativi e della difesa, considerati di alto valore strategico.
Gli attaccanti puntano non solo sui bersagli primari, ma anche sui loro familiari, ampliando così la superficie d’attacco e aumentando la pressione sulle vittime. I metodi di social engineering utilizzati comprendono inviti a conferenze prestigiose o proposte di incontri significativi, costruendo un rapporto di fiducia che può durare giorni o settimane. Spesso, i criminali si fingono colleghi o contatti noti per rendere più credibile la truffa, salvo poi inviare link malevoli o documenti infetti.
APT42, già noto per la sua sovrapposizione con altri gruppi come APT35 e Charming Kitten, si distingue per la capacità di adattare le sue strategie in base al profilo della vittima e agli obiettivi operativi. In alcuni casi, le vittime vengono indirizzate verso pagine di meeting fasulle per il furto delle credenziali; in altri, l’obiettivo è l’installazione di malware persistente per il controllo a lungo termine.
Il malware principale utilizzato è TAMECAT, un backdoor PowerShell modulare che permette l’esfiltrazione di dati, il controllo remoto e la raccolta di informazioni sensibili tramite diversi canali di comando e controllo (HTTPS, Discord e Telegram). Questo approccio multiplo garantisce la resilienza dell’accesso anche se uno dei canali viene individuato e bloccato.
TAMECAT implementa inoltre tecniche avanzate per l’evasione dei sistemi di sicurezza, tra cui l’uso di payload cifrati, l’offuscamento del codice, l’utilizzo di LOLBins e l’esecuzione quasi esclusivamente in memoria, minimizzando così le tracce lasciate sul disco. Il malware è anche in grado di raccogliere file, rubare dati dai browser, acquisire mailbox di Outlook e scattare screenshot a intervalli regolari.
L’infrastruttura della campagna SpearSpecter appare estremamente agile e stealth: sfrutta servizi cloud legittimi combinati con risorse sotto il controllo degli attaccanti, consentendo così accesso iniziale, comando e controllo persistente e un’esfiltrazione dei dati difficile da rilevare.