Il gruppo hacker iraniano Charming Kitten
Il gruppo hacker Charming Kitten, ufficialmente finanziato dall’Iran, torna a destare preoccupazioni. La società russa Kaspersky, che si occupa di sicurezza informatica, ha individuato un nuovo malware attribuito al gruppo. È noto come BellaCPP, ed è una variante evoluta del precedente software malevolo BellaCiao.
Scopriamo i dettagli sul nuovo strumento del gruppo hacker, oltre ad alcune informazioni utili su Charming Kitten e sugli attacchi più noti.
Charming Kitten, di cosa si tratta
Per chi non ne avesse mai sentito parlare, Charming Kitten è un gruppo hacker iraniano classificato come state-sponsored. Viene cioè finanziato e sostenuto direttamente dallo Stato. Il gruppo è anche noto come APT35/APT42 o Mint Sandstorm.
Le prime attività riconducibili al gruppo risalgono al 2011 e, nel corso degli anni, il collettivo si è distinto per l’utilizzo di tecniche sofisticate e strategie avanzate di attacco informatico. In particolare, Charming Kitten è noto per le sue operazioni di spionaggio informatico attraverso tecniche di social engineering.
Queste strategie sono state impiegate principalmente contro Paesi come Israele e gli Stati Uniti, con obiettivi che spaziano da istituzioni governative a enti di ricerca. Tuttavia, le operazioni di Charming Kitten non si limitano allo spionaggio internazionale: il gruppo è attivamente coinvolto anche nel monitoraggio e nella repressione delle minoranze iraniane. Inoltre, viene impiegato per controllare le attività delle opposizioni politiche interne in Iran.
Le abilità del gruppo hacker Charming Kitten
Prima di approfondire il recente utilizzo del malware CPP associato a Charming Kitten, è utile analizzare le competenze che rendono questo gruppo particolarmente pericoloso.
Negli ultimi anni, il gruppo di hacker ha intensificato le campagne di spear phishing, colpendo soprattutto figure di rilievo come funzionari governativi, diplomatici e membri di istituzioni strategiche negli Stati Uniti e in Israele.
Queste campagne si basano sull’uso avanzato del social engineering, una tecnica che sfrutta la manipolazione psicologica per indurre le vittime a rivelare informazioni riservate o a compiere azioni dannose.
In varie occasioni, Charming Kitten ha combinato il social engineering con sofisticate strategie di phishing, per ingannare le vittime e ottenere accesso a dati sensibili. È importante sottolineare che il phishing rappresenta una delle forme più comuni di attacco di ingegneria sociale. Questa metodologia si basa sulla creazione di comunicazioni ingannevoli che spingono le vittime a cliccare su link malevoli o a fornire credenziali di accesso, consentendo agli hacker di infiltrarsi nei sistemi informatici bersaglio.
I più recenti attacchi del gruppo
A Charming Kitten sono attribuiti diversi attacchi hacker recenti.
Innanzitutto, tra febbraio e luglio 2024, il gruppo di analisi TAG di Google ha individuato attacchi diretti a funzionari statunitensi e israeliani. In vari casi, le personalità coinvolte erano strettamente collegate alle campagne presidenziali statunitensi.
La conferma definitiva degli attacchi di Charming Kitten è arrivata il 19 agosto 2024. In tale data FBI, CIA e ODNI hanno dichiarato che l’Iran ha sfruttato il social engineering per cercare di accedere ai dati di entrambi i partiti coinvolti nelle elezioni presidenziali.
Tra gli attacchi più recenti, quello a una non citata figura ebraica che è rimasta anonima. Gli hacker di Charming Kitten hanno inviato l’invito a un falso podcast. In questo modo, tramite un toolkit (denominato BlackSmith), è stato veicolato in virus.
Ma le vittime del gruppo hacker iraniano non sono solamente statunitensi e israeliane. Almeno due sono le campagne di phishing individuate, rivolte a no profit russe e bielorusse, ONG dell’Europa orientale e media indipendenti.
Il malware BellaCPP di Charming Kitten
Recentemente, il gruppo hacker Charming Kitten ha fatto parlare di sé per una nuova versione del suo malware, BellaCPP.
Il malware prende le mosse da BellaCiao, la precedente versione del malware. BellaCiao era stato studiato per garantire una complessità elevata.
Per “battezzarlo”, è stato scelto un nome eloquente: rimanda infatti alla popolare canzone italiana, inno alla libertà e alla resistenza.
BellaCiao è stato scoperto per la prima volta dall’azienda di sicurezza informatica rumena Bitdefender. L’azienda, nell’aprile 2023, lo descrisse per la prima volta come un virus creato su misura per installare altri software dannosi.
A differenza delle precedenti campagne che sfruttavano l’ingegneria sociale per installare malware, BellaCiao e BellaCPP funzionano diversamente.
I due malware, infatti, sembrano sfruttare falle di sistemi per infettare i dispositivi. In passato, in effetti, è stato ipotizzato che il malware possa sfruttare le vulnerabilità dei server Microsoft Exchange per ottenere accessi non autorizzati.
Malware, definizione e caratteristiche di un software dannoso
Ma cosa rende BellaCiao e la sua evoluzione, BellaCPP, tanto pericolosi?
Come abbiamo anticipato, si tratta di malware, ossia dei software malevoli. Queste applicazioni permettono a Charming Kitten (ma anche agli altri hacker) di infettare i dispositivi sui quali vengono installate.
Un malware consente all’hacker di accedere al dispositivo, compromettendo quindi la sicurezza dei dati. In alcuni casi, il dispositivo infetto viene bloccato. In altri, invece, la vittima non si accorge del malware, e gli hacker possono carpire indisturbati dati sensibili e informazioni varie.
Scoperta la nuova variante malware di BellaCiao in C++
Recentemente, come anticipato, Charming Kitten ha distribuito la variante aggiornata del malware BellaCiao.
Si tratta di una variante C++, una sorta di versione potenziata. La nuova variante del malware, BellaCPP, è stata scoperta e analizzata da Kaspersky, nota società russa deputata alla sicurezza informatica.
Ma quali sono le differenze tra BellaCiao e BellaCPP?
Secondo le indagini, BellaCiao è un malware sviluppato in .NET. Il che permette di unire la discrezione di una web shell alla capacità di creare un tunnel nascosto per comunicare con i server degli hacker.
Esiste anche una variante in C++, chiamata “adhapl.dll“, che offre funzionalità simili alla versione originale, inclusa la possibilità di caricare un altro file DLL sconosciuto (“D3D12_1core.dll”), probabilmente usato per avviare un tunnel SSH.
A differenza della versione in .NET, invece, BellaCPP non integra la web shell, che in BellaCiao serviva a trasferire file e a eseguire comandi da remoto.
Questa versione in C++ sfrutta invece domini già collegati al gruppo di hacker Charming Kitten.
