Un gruppo APT vicino all’Iran usa finti aggiornamenti sulle proteste per colpire dissidenti e attivisti. L’arsenale comprende archivi RAR, DLL sideloading, furto di credenziali e sessioni Telegram.
Autore: Redazione SecurityOpenLab
Le proteste in Iran diventano esca digitale. Un nuovo report di Acronis documenta la campagna di cyber‑spionaggio CRESCENTHARVEST, che è stata costruita per intercettare dissidenti, attivisti e simpatizzanti delle manifestazioni. Finti aggiornamenti “dal fronte” scritti in lingua Farsi vengono spediti alle vittime via email come archivi RAR allegati. Al posto del contenuto promesso, attivano un impianto malevolo sofisticato, anche se immaturo dal punto di vista operativo.
La campagna è stata osservata nelle settimane successive al 9 gennaio e si inserisce nel solco delle operazioni di sorveglianza digitale attribuite a threat actor filo‑iraniani, impegnati a monitorare e intimidire gli oppositori dentro e fuori dai confini nazionali. L’analisi rivela un’infrastruttura costruita per durare, con funzioni di accesso remoto, esfiltrazione mirata e keylogging. Allo stesso tempo emergono bug evidenti che possono agevolare la difesa, insieme a un’evoluzione dello sviluppo che sembra inseguire l’attualità più che attenersi a una roadmap strutturata.
L’archivio RAR a cui abbiamo accennato sopra include immagini e video autentici delle manifestazioni in Iran. Insieme c’è un documento Word in Farsi che, nonostante la gravità del contesto, mantiene un approccio quasi neutrale e leggero, con un’abbondanza di emoji. Dentro alla stessa cartella si nascondono due file .LNK camuffati che eseguono una serie di passaggi concatenati. Per prima cosa vengono avviate più istanze annidate di conhost.exe senza finestra visibile, in modo da nascondere alla vittima le attività in corso. Da queste istanze parte un comando cmd.exe, che a sua volta avvia PowerShell per estrarre il payload, impostare la persistenza ed eseguire il malware.
Invece di optare per i classici meccanismi di persistenza legati all’avvio del sistema o a pianificazioni temporali, CRESCENTHARVEST sfrutta gli eventi di rete di Windows per assicurarsi di tornare in vita ogni volta che la macchina si riconnette a Internet. Questa scelta ha almeno due effetti: consente all’impianto di riavviarsi dopo reboot o periodi offline, e aumenta le chance di esecuzione in scenari in cui la vittima isola temporaneamente il dispositivo dalla rete per motivi di sicurezza. Una volta configurato il task, il malware avvia il payload e avvia l’eseguibile software_reporter_tool.exe, un binario firmato Google originariamente sviluppato come parte del Chrome Cleanup Tool e deprecato nel 2023. In CRESCENTHARVEST questo programma legittimo viene riutilizzato come vettore di DLL sideloading. Il fatto che l’eseguibile sia firmato da Google (sebbene con certificato scaduto nel 2024) contribuisce a rendere meno sospetto il processo agli occhi di alcuni controlli di sicurezza o analisi superficiali.
A questo punto l’attacco viene portato avanti da moduli distinti. Il primo serve ad aggirare l’app‑bound encryption dei browser: una DLL estrae e decifra le chiavi usate da Chrome (e dagli altri browser supportati). Dopo aver ricevuto il nome del browser, il modulo individua il suo eseguibile e le cartelle rilevanti, e costruisce una struttura con gli identificatori COM necessari, il percorso del programma, il riferimento al file “Local State” (che contiene la master key cifrata) e un’etichetta leggibile del browser. Questa struttura viene poi passata a una routine che inizializza l’ambiente COM e crea un broker con privilegi elevati, usato per dialogare con i meccanismi di cifratura e ottenere la chiave in chiaro.
Una volta creato il broker, il codice ne configura la sicurezza per poter chiamare funzioni privilegiate, poi legge il file Local State del browser, individua il campo app_bound_encrypted_key ed estrae il valore in Base64. Questo dato viene passato a un servizio fidato che lo decifra, producendo la chiave in chiaro: la chiave viene salvata e inviata a un altro processo così da poter decifrare credenziali, cookie e altri dati protetti.
Il secondo modulo fa capo alla backdoor, a uno stealer e a un keylogger. Si tratta di un vero e proprio impianto di accesso remoto con capacità estese di raccolta informazioni: dal furto di credenziali e cookie alla sottrazione di dati, fino al keylogging e all’esecuzione di comandi impartiti dal server di comando e controllo. All’avvio la DLL crea un thread dedicato che contiene la logica principale dell’impianto e risolve dinamicamente le API di sistema, per rendere meno immediata l’analisi del codice.
Da lì il malware enumera e sospende i thread del proprio processo, applica tecniche anti‑analisi basate sui Job di Windows, carica altre DLL in modo dinamico e adatta il comportamento alla versione di Windows rilevata. La funzione KeyboardEvent attiva un keylogger a basso livello, registra tutte le pressioni di tasto in un file nascosto e le invia periodicamente al server di comando, cancellando poi le tracce locali. Su richiesta dell’attaccante, il malware crea una cartella “sysdriver” nella directory Temp e vi accumula credenziali, cookie e cronologia dei principali browser prima di esfiltrarli. Nel mirino anche Telegram Desktop: l’impianto clona l’intero profilo utente, lo comprime e lo invia al server, sfruttando le chiavi app‑bound decifrate dal primo modulo per sbloccare ulteriori dati sensibili. In parallelo interroga WMI per capire quali soluzioni di sicurezza siano presenti sulla macchina e in che stato si trovino, così da calibrare di conseguenza il proprio livello di aggressività.
Sul fronte dell’infrastruttura criminale, CRESCENTHARVEST si appoggia a un C2 strutturato, con numerosi endpoint dedicati a registrazione dell’agente, raccolta di informazioni di sistema, listing delle directory ed esfiltrazione file, anche se molti di questi restano inutilizzati e gran parte del traffico viene di fatto convogliata sugli endpoint generici /upload e /Out. Acronis segnala anche errori grossolani. Uno è lo user‑agent: il codice prevede una stringa simile a quella di Chrome su Windows, ma nei test il malware invia come user‑agent l’URL del server di comando, rendendo il traffico facilmente riconoscibile anche verso servizi terzi usati per ottenere l’IP pubblico. Le comunicazioni viaggiano in JSON e supportano comandi per keylogging, furto di cookie e cronologia, profilazione utenti locali, furto delle sessioni Telegram, esecuzione di shell e upload di file. Per l’esfiltrazione il malware spezza i file in piccoli blocchi e li invia via HTTPS usando richieste POST multipart, chiudendo poi connessioni e handle per ridurre l’impatto e le tracce sul sistema.
Sul fronte dell’attribuzione, come accennato in apertura gli indizi puntano verso un gruppo APT allineato agli interessi iraniani. Gli indizi principali sono il tema delle proteste, l’uso del Farsi, le similitudini di codice e infrastruttura con campagne note e il focus su dissidenti e attivisti Farsi‑parlanti. Mancano però elementi sufficienti per un collegamento certo a una singola sigla, motivo per cui gli analisti si limitano a parlare di attore filo‑iraniano.