Nhóm tin tặc Iran đã dành 18 tháng để mạo danh một huấn luyện viên thể dục nhịp điệu, thực hiện chiến dịch gián điệp nhằm lây nhiễm mã độc cho nhân viên và nhà thầu trong lĩnh vực quốc phòng và hàng không.

Chiến dịch đã được các nhà nghiên cứu an ninh mạng tại Proofpoint báo cáo, các chuyên gia này cũng đã liên kết chiến dịch này với TA456 (Tortoiseshell) - một nhóm tin tặc được cho là do nhà nước Iran hậu thuẫn và có quan hệ với một nhánh của Lực lượng Vệ binh Cách mạng Hồi giáo thuộc quân đội Iran.

Hoạt động từ năm 2019, chiến dịch đã sử dụng Facebook, Instagram và email để mạo danh nhân vật "Marcella Flores". Tin tặc đã dành 1 tháng để xây dựng mối quan hệ với các mục tiêu qua tin nhắn và email trước khi phát tán phần mềm độc hại khi đã có được sự tin tưởng.

Hồ sơ Facebook công khai của Marcella giới thiệu mình là một huấn luyện viên thể dục nhịp điệu ở Liverpool (Anh) với danh sách bạn bè có một số người được xác định là nhà thầu quốc phòng. Những kẻ tấn công đứng sau nhân vật giả mạo đã sử dụng email, hồ sơ mạng xã hội, ảnh và thậm chí cả tin nhắn tán tỉnh để giả mạo là người thật.

Sau một thời gian nhắn tin qua lại với mục tiêu, những tin tặc sử dụng tài khoản Gmail để gửi liên kết OneDrive đính kèm tài liệu hoặc tệp video chứa mã độc cho nạn nhân. Đây là một phiên bản cập nhật của phần mềm độc hại Lideric, được các nhà nghiên cứu đặt tên là Lempo.

Facebook đã khóa hồ sơ của Marcella vào tháng 7/2021 sau khi xác định đây là tài khoản giả mạo phục vụ hoạt động gián điệp mạng. Mạng xã hội này cũng chỉ ra mỗi liên hệ với phần mềm độc hại được sử dụng trong các chiến dịch với một công ty của Iran có liên kết với IRGC.

Việc tấn công thông qua một hồ sơ giả mạo trên mạng xã hội hoạt động trong thời gian dài chứng tỏ sự bền bỉ của những kẻ đứng sau chiến dịch gián điệp, nhắm mục tiêu vào các cá nhân, chủ yếu là những người làm việc cho các nhà thầu quốc phòng Hoa Kỳ, đặc biệt là những người tham gia hỗ trợ các hoạt động ở Trung Đông.

Phần mềm độc hại này âm thầm hoạt động trên máy tính Windows của nạn nhân, cho phép những kẻ tấn công tìm kiếm và đánh cắp thông tin nhạy cảm, bao gồm tên người dùng và mật khẩu, sau đó sẽ được gửi lại cho tin tặc. Proofpoint cho biết, do tin tặc nhắm mục tiêu cụ thể vào các nạn nhân, nên rất khó để biết những cuộc tấn công này có thành công hay không.

Tên người dùng và mật khẩu bị đánh cắp có thể giúp những tin tặc tiến hành các chiến dịch gián điệp sâu hơn. Các nhà thầu quốc phòng có khả năng bị nhắm mục tiêu bởi việc đánh cắp thông tin đăng nhập của họ có thể giúp chúng tiến xa hơn đến các chuỗi cung cấp, hay giành được quyền truy cập vào mạng lưới của các công ty quốc phòng và hàng không vũ trụ. Mật khẩu bị đánh cắp có thể được sử dụng để truy cập VPN và các phần mềm từ xa, hoặc được sử dụng để thực hiện các cuộc tấn công lừa đảo tiếp theo.

Trước đây, các nhóm gián điệp mạng và tin tặc được nhà nước Iran hậu thuẫn cũng từng triển khai kiểu tấn công này, sử dụng hồ sơ mạng xã hội giả của phụ nữ để thu hút các cá nhân tải xuống phần mềm độc hại. Giống như các chiến dịch gián điệp trước đó của Iran, chiến dịch này tập trung vào ngành công nghiệp quốc phòng và đặc biệt là các công ty cung cấp hỗ trợ cho các hoạt động quân sự ở Trung Đông. Tất cả bằng chứng này đã khiến Proofpoint quy kết chiến dịch này cho nhóm TA456 có liên quan đến nhà nước Iran.