Hackers iranianos do grupo TA455, conhecido por suas ligações com o Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), estão conduzindo ataques cibernéticos contra a indústria aeroespacial utilizando o malware SnailResin. Inspirados em táticas do grupo norte-coreano Lazarus, os hackers criaram uma campanha de “emprego dos sonhos”, onde falsas oportunidades de trabalho são usadas para enganar alvos e implantar malwares, sendo detectada desde setembro de 2023. Essa estratégia de ataque envolve o uso de engenharia social, onde anúncios de trabalho atrativos são divulgados em plataformas como LinkedIn e sites de recrutamento falsos, como “careers2find[.]com”.

Ao clicar nas ofertas, as vítimas baixam um arquivo ZIP que contém um executável (“SignedConnection.exe”) e um arquivo DLL malicioso (“secur32.dll”), responsável por instalar o trojan SnailResin. Esse trojan ativa o backdoor SlugResin, uma versão aprimorada de outro malware, o BassBreaker, que permite acesso remoto aos dispositivos comprometidos. A partir daí, os invasores podem explorar a rede, roubar credenciais e instalar outros malwares.

A ClearSky, empresa de cibersegurança israelense, identificou que o TA455 usa empresas de fachada para manter contato com potenciais alvos, simulando negociações profissionais. Além disso, os hackers utilizam táticas para dificultar a detecção, como esconder comandos maliciosos em repositórios GitHub, misturando-os com tráfego legítimo para obscurecer suas ações. A Proofpoint e a Microsoft também notaram que esses ataques são sofisticados, com processos de infecção em múltiplas etapas, incluindo spear-phishing com anexos disfarçados de documentos relacionados ao trabalho, que conseguem contornar verificações de segurança.

Essa não é a primeira vez que o TA455 utiliza temas de emprego para atrair vítimas. Em campanhas anteriores, o grupo usou fotos geradas por IA para criar perfis falsos e enganar alvos em várias redes sociais, em uma tentativa constante de espionagem e roubo de informações.