
Cuidado: la oferta de trabajo de tus sueños podría ser un malware enviado por hackers iraníes.
Estafadores iraníes han resucitado un antiguo esquema en línea.
Recientemente, se ha detectado que actores patrocinados por el estado iraní están dirigiendo sus ataques hacia profesionales del sector aeroespacial mediante ofertas de empleo fraudulentas. Esta campaña tiene como objetivo la instalación de puertas traseras en los sistemas de las víctimas, así como la exfiltración de información valiosa. El grupo de amenazas conocido como TA455 ha desarrollado sitios de reclutamiento falsos y perfiles ficticios en redes sociales como LinkedIn para acercarse a sus objetivos, instándoles a descargar archivos durante el proceso de incorporación.
Entre estos archivos se encuentra el malware SnailResin, el cual actúa como un cargador para la puerta trasera SlugResin. Este malware es capaz de realizar la exfiltración de datos, establecer comunicación de comando y control (C2) y mantener la persistencia en los sistemas comprometidos. La campaña, apodada "Dream Job", se inició en septiembre de 2023, aunque podría haber comenzado antes.
TA455 está vinculado con el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC) y presenta similitudes con otros grupos como APT35 y TA453. Además del sector aeroespacial, se ha detectado que este grupo también ha atacado entidades de defensa y gobiernos en regiones de Medio Oriente, Europa y Estados Unidos, buscando principalmente llevar a cabo actividades de ciberespionaje para obtener información sensible con fines de inteligencia geopolítica.
Lo que resulta especialmente interesante es que esta campaña refleja el estilo de los atacantes de Lazarus, un grupo patrocinado por Corea del Norte conocido por emplear tácticas de ofertas de trabajo falsas en algunas de sus campañas más destructivas, particularmente en el sector de criptomonedas. Los expertos de ClearSky señalan que no está claro si TA455 está imitando a Lazarus, ocultándose detrás de su actividad o si existe alguna cooperación entre ambos.
Como resultado, se aconseja a las personas ser cautelosas al recibir nuevas ofertas laborales, especialmente si suenan demasiado atractivas para ser ciertas.