Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad ha identificado el resurgimiento de "Educated Manticore", una APT afín al estado iraní, también identificada como APT42, Charming Kitten y Mint Sandstorm. Esta última campaña de phishing selectivo está altamente dirigida y se hace pasar por personal diplomático, académico y también por profesionales tecnológicos israelíes para engañar a figuras prominentes del mundo de la ciberseguridad y el periodismo.
Asociado con la Organización de Inteligencia del CGRI ( Cuerpos de la Guardia Revolucionaria Islámica ), este grupo es conocido por atacar a figuras públicas de todo el mundo. Actualmente, la campaña está ejecutando sofisticadas operaciones de robo de credenciales contra individuos de alto perfil en Israel, aunque su alcance real probablemente sea mucho mayor, tanto geográficamente como por sector.
Tras la escalada de las tensiones entre Irán e Israel, el grupo ha intensificado sus esfuerzos, esta vez haciéndose pasar por instituciones, diplomáticos y profesionales del sector tecnológico israelíes.
Descubrimientos clave:
• Páginas de phishing personalizadas que suplantan la identidad de Google, Outlook y Google Meet, con las direcciones de correo electrónico de las víctimas predefinidas.
• Técnicas avanzadas de ingeniería social utilizadas para eludir la autenticación multifactor.
• Uso de aplicaciones de mensajería privada como WhatsApp para la comunicación inicial, una señal de madurez operativa.
• Un caso alarmante incluyó una invitación falsa a una reunión presencial, lo que indica un posible objetivo en el mundo real.
Por qué es importante:
Esta campaña demuestra la evolución de las operaciones cibernéticas iraníes, desde el robo básico de credenciales hasta sofisticados intentos de suplantación de identidad multicanal con potencial impacto geopolítico. Si bien actualmente la atención se centra en Israel, el mismo actor ha atacado previamente a personas de todo el mundo utilizando suplantaciones de identidad de The Washington Post, The Economist y otros.
"Estos ataques son precisos y calculados. El actor de amenazas está perfeccionando su enfoque con altos niveles de seguridad operativa y una creciente confianza en atacar a comunidades sensibles como periodistas e investigadores", declaró Sergey Shykevich, director del Grupo de Inteligencia de Amenazas.