У складній серії кібератак, які почалися в листопаді 2023 року, іранська група Mint Sandstorm, яка потенційно пов’язана з Корпусом вартових ісламської революції Ірану, націлилася на близькосхідних експертів.
Група, відома також як APT35, Charming Kitten, TA453 і Yellow Garuda, використовує зловмисне програмне забезпечення, зокрема новий бекдор “MediaPl”, для вдосконалення своїх стратегій після вторгнення. Ці атаки є частиною зусиль національних держав зі збору розвідданих. Спосіб дії включає використання скомпрометованих облікових записів електронної пошти та команд curl для підключення до інфраструктури командування та контролю (C2).
Останній набір вторгнень характеризується використанням спокус, пов’язаних із війною Ізраїлю та ХАМАС , надсиланням нешкідливих електронних листів під виглядом журналістів та інших високопоставлених осіб для налагодження стосунків із цілями та встановлення рівня довіри перед тим, як спробувати доставити зловмисне програмне забезпечення цілі. У Microsoft заявили, що, ймовірно, ця кампанія є спробою загрози національній державі зібрати погляди на події, пов’язані з війною.
Цей скрипт прокладає шлях для більш зловісних корисних навантажень, таких як MischiefTut і MediaPl. MischiefTut, реалізований PowerShell бекдор, вперше помічений наприкінці 2022 року, здатний виконувати розвідувальні команди та завантажувати інструменти на зламані системи. MediaPl маскується під Windows Media Player і може надсилати зашифровані команди на сервер C2.
Такі інструменти демонструють прогрес Mint Sandstorm у адаптації інструментів для підтримки прихованої присутності в цільових середовищах, підкреслюючи витонченість угрупувань.