Їхні цілі – військові експерти Ізраїлю та ХАМАСу
Відомі особи, які працюють у справах Близького Сходу в університетах і дослідницьких організаціях Бельгії, Франції, Гази, США, Ізраїлю та Великобританії, стали мішенями іранських кібершпигунів з угруповання Mint Sandstorm. Полювання за експертами триває з листопада 2023 року, і переважно для нього застосовується фішинг; у деяких випадках атаки відбуваються з використанням раніше незадокументованого бекдору MediaPl.
Хакери з Mint Sandstorm (інші їхні назви – APT35, Charming Kitten, TA453 і Yellow Garuda) відомі успішними кампаніями з використанням соціальної інженерії. З легальних, але скомпрометованих облікових записів зловмисники надсилають адресні електронні листи потенційним цілям. Вважається, що угруповання Mint Sandstorm пов’язане з Корпусом вартових ісламської революції Ірану.
Взаємодія хакерів з мішенню починається з нешкідливих листів від буцімто журналістів, із проханням про коментар або інтерв’ю. Якщо жертва йде на контакт, за якийсь час вона отримує листа зі шкідливим посиланням, що веде до архівного файлу RAR. Запущений ланцюжок атак встановлює на пристрої жертви спеціальні імпланти, які можуть активовувати розвідувальні команди, записувати результати в текстовий файл і завантажувати додаткові інструменти на скомпрометовану систему. Один з імплантів може маскуватися під медіапрогравач Windows, передавати на свій сервер C2 зашифровані повідомлення і запускати отримані від нього команди. Дослідники з Microsoft кажуть, що ця кампанія є спробою зібрати інформацію про тих, хто має знання з питань безпеки і політики, які цікавлять Тегеран, а також вивчити погляди різних сторін на події, пов’язані з війною між Ізраїлем і ХАМАСом.
