Imperial Kitten: il malware iraniano che prende di mira aziende tech

CrowdStrike rileva la scoperta di Imperial Kitten, un malware che sfrutta tecniche di social engineering e phishing per diffondersi.
Marco Ponteprino
Pubblicato il 14 nov 2023
Imperial Kitten: il malware iraniano che prende di mira aziende tech
piqsels.com

Nei giorni scorsi è stato individuato e analizzato un malware alquanto temibile, noto con il nome di Imperial Kitten.

Secondo gli esperti di CrowdStrike, l’agente malevolo avrebbe stretti legami con l’Iran e, più nello specifico, con l’Islamic Revolutionary Guard Corps (noto come IRGC).

Il malware, a quanto pare, è attivo da diversi anni e in passato ha preso di mira settori come quello energetico, marittimo, spostando di recente il suo obiettivo su aziende tecnologiche. Finora le campagne hanno preso di mira in prevalenza entità mediorientali, soprattutto israeliane, anche se non è esclusa una diffusione futura anche in occidente.

Per quanto concerne la diffusione di Imperial Kitten gli esperti hanno citato ampio utilizzo di strategie social engineering, sfruttando soprattutto esche relative a proposte di lavoro, abbinate a classiche azioni phishing. Per gli esperti, nella tecnica di diffusione, potrebbero essere anche utilizzati documenti Excel con macro dannose.

Il malware Imperial Kitten sfrutta tecniche avanzate di social engineering per diffondersi

Le catene di intrusione sfruttano diverse tecniche e procedure, tra cui figura l’utilizzo di strumenti di scansione pubblici e non, oltre all’esfiltrazione di dati attraverso malware personalizzati e open source come MeshAgent3.

CrowdStrike ha monitorato l’operato dei cybercriminali tra l’inizio del 2022 e il 2023, notando come gli stessi stanno portando avanti operazioni SWC, ovvero attacchi in cui si tenta di compromettere le visite in base a un interesse comune, attirando poi le stesse su un sito Web compromesso.

L’infrastruttura creata dai criminali informatici, allo stato attuale, coinvolge una dozzina di domini, principalmente israeliani, sfruttate per la diffusione del malware vero e proprio.

I cybercriminali impegnati nell’operazione Imperial Kitten sembrano utilizzare diversi strumenti personalizzati, come un apposito strumento di accesso remoto (RAT) che sfrutta Discord, ma anche altri tool (come IMAPLoader e StandardKeyboard) per sfruttare la porta elettronica con fini di comando e controllo del dispositivo preso di mira.

Ti consigliamo anche

GitHub: scoperti 3.000 account che diffondono malware
Vulnerabilità

GitHub: scoperti 3.000 account che diffondono malware
Hamster Kombat, rischio malware per milioni di videogiocatori
Vulnerabilità

Hamster Kombat, rischio malware per milioni di videogiocatori
EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware
Vulnerabilità

EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware
Google Play Store, scansione malware: Play Protect migliora ancora
Sicurezza

Google Play Store, scansione malware: Play Protect migliora ancora
Link copiato negli appunti