O grupo de ameaças iraniano conhecido como Tortoiseshell foi atribuído a uma nova onda de ataques de “watering hole” projetados para implantar um malware chamado IMAPLoader. O IMAPLoader é um malware .NET que tem a capacidade de identificar sistemas de vítimas usando utilitários nativos do Windows e atua como um downloader para cargas úteis adicionais.

O grupo Tortoiseshell, ativo desde pelo menos 2018, tem um histórico de comprometimento estratégico de sites para facilitar a distribuição de malware.

O ator de ameaças está alinhado com o Corpo da Guarda Revolucionária Islâmica (IRGC) e também é rastreado pela comunidade de cibersegurança sob outros nomes, como Crimson Sandstorm e Imperial Kitten.

Os ataques mais recentes envolvem a incorporação de JavaScript malicioso em sites legítimos comprometidos para coletar mais detalhes sobre os visitantes, incluindo sua localização e informações do dispositivo.

Essas intrusões focam principalmente nos setores marítimo, de transporte e logística no Mediterrâneo, em alguns casos levando à implantação do IMAPLoader como uma carga útil subsequente. Em uma cadeia de ataque alternativa, um documento do Microsoft Excel é usado como vetor inicial para iniciar um processo de várias etapas para entregar e executar o IMAPLoader.