Nei giorni scorsi è stato individuato e analizzato un malware alquanto temibile, noto con il nome di Imperial Kitten.
Secondo gli esperti di CrowdStrike, l’agente malevolo avrebbe stretti legami con l’Iran e, più nello specifico, con l’Islamic Revolutionary Guard Corps (noto come IRGC).
Il malware, a quanto pare, è attivo da diversi anni e in passato ha preso di mira settori come quello energetico, marittimo, spostando di recente il suo obiettivo su aziende tecnologiche. Finora le campagne hanno preso di mira in prevalenza entità mediorientali, soprattutto israeliane, anche se non è esclusa una diffusione futura anche in occidente.
Per quanto concerne la diffusione di Imperial Kitten gli esperti hanno citato ampio utilizzo di strategie social engineering, sfruttando soprattutto esche relative a proposte di lavoro, abbinate a classiche azioni phishing. Per gli esperti, nella tecnica di diffusione, potrebbero essere anche utilizzati documenti Excel con macro dannose.
Il malware Imperial Kitten sfrutta tecniche avanzate di social engineering per diffondersi
Le catene di intrusione sfruttano diverse tecniche e procedure, tra cui figura l’utilizzo di strumenti di scansione pubblici e non, oltre all’esfiltrazione di dati attraverso malware personalizzati e open source come MeshAgent3.
CrowdStrike ha monitorato l’operato dei cybercriminali tra l’inizio del 2022 e il 2023, notando come gli stessi stanno portando avanti operazioni SWC, ovvero attacchi in cui si tenta di compromettere le visite in base a un interesse comune, attirando poi le stesse su un sito Web compromesso.
L’infrastruttura creata dai criminali informatici, allo stato attuale, coinvolge una dozzina di domini, principalmente israeliani, sfruttate per la diffusione del malware vero e proprio.
I cybercriminali impegnati nell’operazione Imperial Kitten sembrano utilizzare diversi strumenti personalizzati, come un apposito strumento di accesso remoto (RAT) che sfrutta Discord, ma anche altri tool (come IMAPLoader e StandardKeyboard) per sfruttare la porta elettronica con fini di comando e controllo del dispositivo preso di mira.