Um grupo de hackers chamado OilAlpha, com suspeitas de vínculos com o movimento Houthi do Iêmen, foi ligado a uma campanha de espionagem cibernética direcionada a organizações de desenvolvimento, humanitárias, de mídia e não governamentais na Península Arábica.
"O OilAlpha usou mensageiros criptografados, como o WhatsApp, para lançar ataques de engenharia social contra seus alvos", disse a empresa de segurança cibernética Recorded Future em um relatório técnico publicado na terça-feira.
"Também usou encurtadores de URL. De acordo com a avaliação da vítima, parece que a maioria das entidades visadas falava árabe e operava dispositivos Android."
OilAlpha é o novo criptônimo dado pela Recorded Future a dois clusters sobrepostos anteriormente rastreados pela empresa sob os nomes TAG-41 e TAG-62 desde abril de 2022.
TAG-XX (abreviação de Grupo de Atividade de Ameaças) é o nome temporário atribuído a grupos de ameaças emergentes.
A avaliação de que o adversário está agindo no interesse do movimento Houthi baseia-se no fato de que a infraestrutura usada nos ataques está quase exclusivamente associada à Corporação de Telecomunicações Públicas (PTC), um provedor de serviços de telecomunicações iemenita sujeito ao controle dos Houthi.
Dito isso, o uso persistente dos ativos da PTC não exclui a possibilidade de comprometimento por um terceiro desconhecido.
No entanto, a Recorded Future observou que não encontrou nenhuma evidência para apoiar essa linha de raciocínio.
Outro fator é o uso de aplicativos maliciosos baseados em Android para provavelmente vigiar delegados associados às negociações lideradas pelo governo saudita.
Esses aplicativos imitaram entidades ligadas ao governo saudita e a uma organização humanitária nos Emirados Árabes Unidos.
As cadeias de ataque começam com possíveis alvos - representantes políticos, personalidades da mídia e jornalistas - recebendo os arquivos APK diretamente de contas do WhatsApp usando números de telefone sauditas, fingindo que os aplicativos pertencem à UNICEF, ONGs e outras organizações de ajuda humanitária.
Os aplicativos, por sua vez, atuam como um canal para deixar um trojan de acesso remoto chamado SpyNote (também conhecido como SpyMax), que vem com uma infinidade de recursos para capturar informações sensíveis de dispositivos infectados.
"O foco do OilAlpha em direcionar dispositivos Android não é surpreendente devido à alta saturação de dispositivos Android na região da Península Arábica", disse a Recorded Future.
A empresa de segurança cibernética disse também ter observado amostras do njRAT (também conhecido como Bladabindi) comunicando-se com servidores de comando e controle (C2) associados ao grupo, indicando que está simultaneamente usando malware de desktop em suas operações.
"O OilAlpha lançou seus ataques a pedido de uma entidade patrocinadora, nomeadamente os Houthi do Iêmen", teorizou.
"O OilAlpha pode estar diretamente afiliado à sua entidade patrocinadora ou também pode estar operando como uma parte contratante".
"Embora a atividade do OilAlpha seja pró-Houthi, não há evidências suficientes para sugerir que os operadores iemenitas sejam responsáveis por essa atividade ameaçadora. Ameaçadores externos, como o Hezbollah libanês ou iraquiano, ou mesmo operadores iranianos apoiando o IRGC, podem ter liderado essa atividade de ameaça."
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...