Pesquisadores de cibersegurança descobriram uma nova infraestrutura de rede configurada por atores de ameaça iranianos para apoiar atividades relacionadas ao recente direcionamento de campanhas políticas dos EUA. A infraestrutura do grupo é elaborada, utilizando provedores de DNS dinâmico (DDNS) como Dynu, DNSEXIT e Vitalwerks para registrar domínios usados em ataques de phishing. Esses domínios frequentemente utilizam temas enganosos relacionados a serviços em nuvem, compartilhamento de arquivos e visualização de documentos para atrair alvos a revelar informações sensíveis ou baixar arquivos maliciosos.

O adversário tem um histórico de realizar ataques de phishing altamente direcionados que utilizam extensas técnicas de engenharia social para infectar usuários com malware como POWERSTAR (também conhecido como CharmPower e GorjolEcho) e GORBLE, que foi recentemente identificado pela Mandiant, propriedade da Google, como usado em campanhas contra Israel e EUA.

O processo de infecção costuma ser de múltiplas etapas, envolvendo o acesso inicial através de phishing, seguido pelo estabelecimento de comunicação com servidores de comando e controle (C2), e finalmente a exfiltração de dados ou a entrega de cargas úteis adicionais. A infraestrutura do grupo permite o registro rápido de domínios, dificultando o rastreamento das atividades do grupo, especialmente com o uso de provedores de DDNS que permitem mudanças rápidas nos endereços IP.