En 2024, investigadores de ESET detectaron diversas herramientas maliciosas en los sistemas utilizados por funcionarios del gobierno kurdo e iraquí. El grupo APT responsable de estos ataques ha sido identificado como BladedFeline, un actor de amenazas iraní que ha estado activo desde al menos 2017, cuando comprometió a funcionarios del Gobierno Regional de Kurdistán (KRG). Este grupo desarrolla malware para mantener y expandir su acceso dentro de organizaciones en Irak y el KRG. Aunque este es el primer informe detallado sobre BladedFeline, el grupo fue descubierto en 2023 tras atacar a funcionarios diplomáticos kurdos con el backdoor Shahmaran.
El conjunto de herramientas utilizadas en la campaña reciente indica que BladedFeline ha continuado desarrollando su arsenal desde el despliegue de Shahmaran. Se encontraron dos túneles reversos, varias herramientas suplementarias y, notablemente, un backdoor denominado Whisper y un módulo IIS malicioso llamado PrimeCache. Whisper permite a los atacantes acceder a cuentas de correo electrónico comprometidas en servidores Microsoft Exchange y comunicarse a través de correos adjuntos. Por su parte, PrimeCache, también un backdoor, tiene similitudes con el backdoor RDAT utilizado por el grupo APT alineado con Irán, OilRig.
A partir de las similitudes de código y otras evidencias, se estima con una confianza media que BladedFeline es un subgrupo de OilRig, el cual ha concentrado su atención en gobiernos y empresas de Oriente Medio. De hecho, BladedFeline ha trabajado de manera continua para mantener el acceso ilícito a funcionarios diplomáticos kurdos, al mismo tiempo que ha explotado un proveedor de telecomunicaciones regional en Uzbekistán y desarrollado su acceso a funcionarios en el gobierno de Irak.
Este informe detalla aspectos técnicos de los primeros implantes entregados a los objetivos de BladedFeline, los vínculos entre las víctimas y establece las bases para asociar este subgrupo con OilRig. Se identifica que BladedFeline ha comprometido a funcionarios del KRG al menos desde 2017, y las actividades iniciales pueden trazarse de regreso a OilRig.
En conclusión, BladedFeline es un grupo de amenazas sofisticado que se especializa en atacar a víctimas iraquíes y kurdas, especialmente funcionarios y organizaciones gubernamentales. Se prevé que el grupo continúe desarrollando implementaciones para mantener y expandir su acceso dentro de su conjunto de víctimas comprometidas, con fines de ciberespionaje.
Fuente: WeLiveSecurity by eSet.
