Se ha observado que el grupo de hackers iraní conocido como Charming Kitten implementa una variante C++ de un conocido malware llamado BellaCiao.
La empresa rusa de ciberseguridad Kaspersky, que denominó la nueva versión BellaCPPdijo que descubrió el artefacto como parte de una investigación “reciente” sobre una máquina comprometida en Asia que también estaba infectada con el malware BellaCiao.
BellaCiao fue documentada por primera vez por la empresa rumana de ciberseguridad Bitdefender en abril de 2023, describiéndola como un cuentagotas personalizado capaz de entregar cargas útiles adicionales. El grupo de piratas informáticos ha implementado el malware en ataques cibernéticos dirigidos a Estados Unidos, Medio Oriente e India.
También es una de las muchas familias de malware personalizadas que el actor de Charming Kitten ha desarrollado a lo largo de los años. Afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), el grupo de amenaza persistente avanzada (APT) también es conocido por los apodos APT35, CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (anteriormente Phosphorus), Newscaster, TA453 y Yellow Garuda. .
Si bien el grupo tiene un historial de orquestar la creación de campañas inteligentes de ingeniería social para ganarse la confianza de los objetivos y entregar malware, se ha descubierto que los ataques que involucran a BellaCiao convierten en armas fallas de seguridad conocidas en aplicaciones de acceso público como Microsoft Exchange Server o Zoho ManageEngine.
“BellaCiao es una familia de malware basada en .NET que añade un toque único a una intrusión, combinando la persistencia sigilosa de un shell web con el poder de establecer un túnel encubierto”, dijo el investigador de Kaspersky Mert Degirmenci.
La variante C++ de BellaCiao es un archivo DLL llamado “adhapl.dll” que implementa características similares a las de su antecesor, y contiene código para cargar otra DLL desconocida (“D3D12_1core.dll”) que probablemente se usa para crear un túnel SSH.
Sin embargo, lo único de BellaCPP es la falta de un shell web que se utiliza en BellaCiao para cargar y descargar archivos arbitrarios, así como para ejecutar comandos.
“Desde una perspectiva de alto nivel, esta es una representación C++ de las muestras de BellaCiao sin la funcionalidad web shell”, dijo Degirmenci, añadiendo que BellaCPP “utiliza dominios previamente atribuidos al actor”.
