Charming Kitten, el actor de estado-nación afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), ha sido atribuido a una campaña de spear-phishing a medida que entrega una versión actualizada de un backdoor PowerShell con todas las funciones llamado POWERSTAR.
En un informe, Ankur Saini y Charlie Gardner, investigadores de Volexity, señalan que «se han mejorado las medidas de seguridad operativa del malware para dificultar el análisis y la recopilación de información».La amenaza es una especie de experto cuando se trata de emplear la ingeniería social para atraer a los objetivos, a menudo elaborando personajes falsos a medida en las plataformas de medios sociales y entablando conversaciones sostenidas para construir una relación antes de enviar un enlace malicioso. También se le ha seguido la pista bajo los nombres de APT35, Cobalt Illusion, Mint Sandstorm (antes Phosphorus) y Yellow Garuda.
Recientes intrusiones orquestadas por Charming Kitten han hecho uso de otros implantes como PowerLess y BellaCiao, lo que sugiere que el grupo está utilizando una serie de herramientas de espionaje a su disposición para llevar a cabo sus objetivos estratégicos.
POWERSTAR es otra adición al arsenal del grupo. También llamada CharmPower, la puerta trasera fue documentada públicamente por primera vez por Check Point en enero de 2022, descubriendo su uso en relación con ataques que aprovechaban las vulnerabilidades Log4Shell en aplicaciones Java expuestas públicamente.
Desde entonces se ha utilizado en al menos otras dos campañas, documentadas por PwC en julio de 2022 y Microsoft en abril de 2023.
Volexity, que detectó una variante rudimentaria de POWERSTAR en 2021 distribuida por una macro maliciosa incrustada en un archivo DOCM, dijo que la ola de ataques de mayo de 2023 aprovecha un archivo LNK dentro de un archivo RAR protegido por contraseña para descargar la puerta trasera de Backblaze, al tiempo que toma medidas para dificultar el análisis.
El backdoor viene con un amplio conjunto de funciones que le permiten ejecutar remotamente comandos PowerShell y C#, configurar la persistencia, recopilar información del sistema y descargar y ejecutar más módulos para enumerar los procesos en ejecución, capturar capturas de pantalla, buscar archivos que coincidan con extensiones específicas y controlar si los componentes de persistencia siguen intactos.
También se ha mejorado y ampliado con respecto a la versión anterior el módulo de limpieza, diseñado para borrar todos los rastros de la huella del malware, así como las claves de registro relacionadas con la persistencia. Estas actualizaciones apuntan a los continuos esfuerzos de Charming Kitten por perfeccionar sus técnicas y eludir la detección.
Volexity dijo que también detectó una variante diferente de POWERSTAR que intenta recuperar un servidor C2 codificado mediante la decodificación de un archivo almacenado en el sistema descentralizado InterPlanetary Filesystem (IPFS), lo que indica un intento de hacer más resistente su infraestructura de ataque.
El desarrollo coincide con el uso por parte de MuddyWater (también conocido como Static Kitten) de un marco de mando y control (C2) previamente indocumentado llamado PhonyC2 para enviar cargas maliciosas a hosts comprometidos.
