Um grupo com ligações ao Irã mirou os setores de transporte, logística e tecnologia no Oriente Médio, incluindo Israel, em outubro de 2023, em meio a um aumento na atividade cibernética iraniana desde o início da guerra entre Israel e Hamas.

Os ataques foram atribuídos pela CrowdStrike a um ator de ameaça que a empresa monitora sob o nome de “Imperial Kitten”. A atividade do adversário, ativa desde pelo menos 2017, provavelmente atende aos requisitos de inteligência estratégica iraniana associados às operações do IRGC”, disse a CrowdStrike em um relatório técnico.

Sua atividade é caracterizada pelo uso de engenharia social, particularmente conteúdo temático de recrutamento de emprego, para entregar implantes personalizados baseados em .NET.

As cadeias de ataque aproveitam sites comprometidos, principalmente relacionados a Israel, para perfilar visitantes usando JavaScript personalizado e exfiltrar as informações para domínios controlados pelos atacantes.

As campanhas de phishing envolvem o uso de documentos do Microsoft Excel com macros para ativar a cadeia de infecção e soltar um shell reverso baseado em Python que se conecta a um endereço IP codificado para receber mais comandos.