Um grupo de hackers suspeitos de ser patrocinado pelo governo iraniano lançou uma nova campanha de espionagem contra organizações do governo iraquiano e outras entidades no país, segundo pesquisadores. A ameaça foi atribuída ao grupo de ataque persistente avançado (APT) conhecido como APT34, também rastreado sob o codinome OilRig. Este grupo, em campanhas anteriores, direcionou suas ações principalmente contra organizações no Oriente Médio.

Nos últimos meses, o APT34 utilizou um novo conjunto de malwares chamados Veaty e Spearal em ataques contra alvos no Iraque, de acordo com um relatório divulgado pela empresa israelense de cibersegurança Check Point. Essas ferramentas apresentam semelhanças com outros malwares já associados ao grupo, como o Karkoff e o Saitama, sugerindo uma continuidade nas táticas e recursos empregados por esse grupo de cibercriminosos.

Os malwares apresentam mecanismos distintos de comando e controle (C2), incluindo um canal personalizado baseado em e-mail, o que reforça a ligação com o grupo APT34, segundo os pesquisadores. O canal C2 baseado em e-mail observado no malware Veaty utiliza contas de e-mail comprometidas dentro da organização alvo, indicando que os invasores conseguiram se infiltrar nas redes das vítimas. Essa técnica sofisticada e de difícil detecção é uma marca registrada das operações do APT34.

A infiltração inicial dos alvos no Iraque provavelmente ocorreu por meio de algum tipo de engenharia social, em que os hackers persuadiram as vítimas a abrir arquivos maliciosos disfarçados como anexos de documentos. Essa tática é comum em campanhas de espionagem cibernética, nas quais os invasores se aproveitam da confiança do usuário para desencadear o ataque.