O grupo chinês de ameaça persistente avançada (APT) Playful Taurus atacou vários órgãos do governo iraniano entre julho e dezembro do ano passado, de acordo com um relatório da Palo Alto Networks. O grupo, também conhecido como APT15, KeChang, NICKEL, BackdoorDiplomacy e Vixen Panda, foi observado tentando conectar domínios do governo iraniano à infraestrutura de malware associada à gangue, de acordo com o documento.
“O Playful Taurus continua a evoluir em suas táticas e ferramentas. Atualizações recentes para a backdoor Turian e a nova infraestrutura de comando e controle [C&C] sugerem que o grupo continua obtendo sucesso durante suas campanhas de espionagem cibernética”, disse a Palo Alto em um blog. “A análise das amostras e conexões com a infraestrutura maliciosa sugere que as redes do governo iraniano provavelmente foram comprometidas”, acrescentou a empresa de segurança cibernética.
A Palo Alto também alertou que o grupo está adotando as mesmas táticas e técnicas contra outros governos e entidades diplomáticas nas Américas do Norte e do Sul, África e Oriente Médio.
Nos recentes ataques contra órgãos governamentais do Irã, os pesquisadores observaram que o Playful Taurus estava usando uma nova versão do malware Turian e uma nova infraestrutura de comando e controle. A nova versão da backdoor possui ofuscação adicional e um protocolo de rede modificado, um algoritmo de descriptografia atualizado usado para extrair os servidores C&C. O malware oferece funções para atualizar o servidor C&C para se comunicar, executar comandos e gerar shells reversos.
As redes de quatro órgãos do governo iraniano, incluindo o Ministério das Relações Exteriores, provavelmente foram comprometidas com a nova versão do malware. “Identificamos a infraestrutura do governo iraniano estabelecendo conexões com um conhecido servidor Playful Taurus de comando e controle”, observou a Palo Alto Networks. “A partir de um dos IPs do governo iraniano, identificamos certificados adicionais de hospedagem de infraestrutura que se sobrepõem a um segundo servidor Playful Taurus C&C.”
Veja isso
Microsoft ‘confisca’ 42 sites usados por hackers chineses
Grupo invade e-mail da agência de energia atômica do Irã
O Turian é uma evolução do Quarian, a backdoor observada pela última vez em uso em 2013 contra alvos diplomáticos na Síria e nos Estados Unidos pelo grupo de ameaças. O uso de Turian pelo Playful Taurus foi identificado pela primeira vez em junho de 2021 pela ESET.
O grupo usa táticas, técnicas e procedimentos semelhantes em seus ataques, mas ferramentas modificadas são usadas para evitar o rastreamento. Em 2012, Playful Taurus mirou no Ministério das Relações Exteriores da Síria e, no ano seguinte, o Departamento de Estado dos EUA. Em dezembro de 2021, a Microsoft apreendeu 42 domínios nos EUA usados pelo Playful Taurus para ataques direcionados a 29 países.