Un actor de amenazas respaldado por el estado iraní está apuntando a personas asociadas con las campañas presidenciales de Harris y Trump, según el Grupo de Análisis de Amenazas (TAG) de Google.

Se ha observado que el grupo, APT42, intenta comprometer las cuentas de correo electrónico de personas asociadas con las respectivas campañas presidenciales de EE. UU. mediante ataques de phishing.

TAG dijo que APT42 atacó las cuentas de correo electrónico personales de aproximadamente una docena de afiliados al presidente Biden y al expresidente Trump, incluidos funcionarios actuales y anteriores del gobierno de EE. UU., en mayo y junio.

Estas campañas han dado lugar a la violación exitosa de múltiples cuentas, incluida la cuenta personal de Gmail de un consultor político de alto perfil.

El nuevo análisis surge a raíz de un informe de Microsoft del 8 de agosto que detallaba cuatro operaciones distintas de influencia cibernética por parte de actores iraníes dirigidas al ciclo electoral presidencial de Estados Unidos.

Se sabe que APT42 tiene como objetivo a figuras militares y políticas en apoyo de los objetivos geopolíticos de Irán.

Los investigadores de Google TAG también revelaron una intensificación de los ataques a usuarios con sede en Israel desde abril de 2024 por parte de APT42. Estos ataques de phishing se han dirigido principalmente a personas con conexiones con el sector militar y de defensa israelí, así como a diplomáticos, académicos y ONG.

En los seis meses de febrero a julio de 2024, TAG descubrió que Estados Unidos e Israel representaron aproximadamente el 60% de los ataques geográficos conocidos de APT.

Las operaciones de phishing selectivo de APT42 son sofisticadas y utilizan una variedad de tácticas, incluido el alojamiento de malware, páginas de phishing y redireccionamientos maliciosos.

APT42 ha desarrollado un sólido conocimiento de los proveedores de correo electrónico a los que se dirigen, y a menudo investiga las configuraciones de seguridad de las cuentas a las que se dirigen mediante flujos de trabajo de inicio de sesión o recuperación fallidos para determinar el segundo factor configurado para la autenticación con el fin de orientar mejor sus intentos iniciales de phishing.

Además, APT42 realiza un reconocimiento significativo de los objetivos, utilizando herramientas de investigación de redes sociales y marketing de código abierto para identificar direcciones de correo electrónico personales que podrían no tener la autenticación multifactor (MFA) predeterminada u otras medidas de protección implementadas.