ESET, leader europeo globale nel mercato della cybersecurity, ha scoperto le più recenti attività del gruppo cybercriminale BladedFeline, affiliato all’Iran, che ha preso di mira funzionari governativi iracheni e curdi nell’ambito di una campagna di cyberspionaggio. Il gruppo ha impiegato un’ampia gamma di strumenti malevoli rinvenuti nei sistemi compromessi, segno di un’attività volta a mantenere e potenziare l’accesso ai sistemi di alti funzionari e organizzazioni governative in Iraq e nella regione curda.
L’analisi di ESET su BladedFeline
La campagna più recente evidenzia l’evoluzione delle capacità di BladedFeline, che includono due strumenti di tunneling (Laret e Pinar), vari tool supplementari e, soprattutto, la backdoor personalizzata Whisper e il modulo malevolo per Internet Information Services (IIS) denominato PrimeCache, entrambi identificati e classificati da ESET.
Whisper accede a un account webmail compromesso su un server Microsoft Exchange e lo utilizza per comunicare con gli attaccanti tramite allegati email. PrimeCache funge anch’esso da backdoor: si tratta di un modulo malevolo per IIS che presenta similitudini con la backdoor RDAT, già utilizzata dal gruppo APT OilRig.
Sulla base di analogie nel codice e di altri elementi, ESET ritiene con ragionevole certezza che BladedFeline sia un sottogruppo di OilRig, gruppo APT affiliato all’Iran noto per colpire governi e aziende in Medio Oriente. Le componenti iniziali impiegate nella campagna più recente risultano riconducibili a OilRig. Gli strumenti impiegati riflettono l’orientamento strategico del gruppo verso la persistenza e la furtività all’interno dei network presi di mira.
BladedFeline continua a operare con l’obiettivo di mantenere un accesso stabile ai sistemi informatici di funzionari diplomatici curdi. Contestualmente, ha compromesso un provider di telecomunicazioni in Uzbekistan e prosegue le attività di intrusione verso rappresentanti del governo iracheno.
Attività di cyberspionaggio che vanno avanti da diversi anni
Secondo ESET Research, BladedFeline punta a colpire i governi curdo e iracheno per finalità di cyberspionaggio, con l’obiettivo di mantenere un accesso strategico ai sistemi informatici di funzionari di alto livello in entrambe le amministrazioni. I rapporti diplomatici tra il Kurdistan e i paesi occidentali, insieme alle riserve petrolifere della regione, rendono l’area un obiettivo particolarmente interessante per gruppi affiliati all’Iran, intenzionati a spiare e potenzialmente manipolare questi rapporti. In Iraq, questi attori operano molto probabilmente per contrastare l’influenza occidentale seguita all’invasione e all’occupazione statunitense.
Nel 2023, ESET aveva già scoperto che BladedFeline aveva colpito funzionari diplomatici curdi con la backdoor Shahmaran, e ne aveva riportato le attività negli APT Activity Report. Il gruppo è attivo almeno dal 2017, anno in cui aveva compromesso funzionari del Governo Regionale del Kurdistan. Non è l’unico sottogruppo di OilRig monitorato da ESET: tra gli altri, anche Lyceum — noto anche come HEXANE o Storm-0133 — è sotto osservazione. Lyceum si concentra su diversi obiettivi israeliani, tra cui enti governativi locali e organizzazioni sanitarie.
Secondo ESET, BladedFeline continuerà a sviluppare i propri tool al fine di mantenere e ampliare l’accesso agli ambienti già infiltrati a fini di cyberspionaggio.
