קבוצת איומי סייבר המקושרת לאיראן בשם APT35 (הידועה גם בשמות Charming Kitten, Imperial Kitten, או Tortoiseshell) עדכנה את ארסנל מתקפות הסייבר שלה ביכולות משופרות להסתיר את פעולותיה, כמו גם דלת אחורית משודרגת שהיא מפיצה באמצעות מתקפות Spear-Phishing. מתקפות דיוג בחנית Spear-Phishing הינן מתקפות סייבר ספציפיות הממוקדות בקורבן אחד או מספר נבחר של קורבנות, בעוד שדיוג רגיל מנסה להונות המוני אנשים. במתקפות דיוג בחנית משתמשים פושעי סייבר לעתים קרובות בהנדסה חברתית ובמיילים מזויפים כדי למקד את המתקפה באנשים ספציפיים בארגונים ספציפיים.
על פי החשד פועלת קבוצת APT35 בעיקר באיסוף מודיעין על ידי פגיעה באישורי משתמשים ושליחת דוא"ל דיוג ממוקד לאנשים ספציפיים בארגונים ספציפיים. לפי פוסט שפירסמה Volexity, ניסתה הקבוצה לאחרונה מתקפת דיוג חנית שכוונה לעיתונאי ישראלי עם הפיתוי "טיוטת דוח". טיוטת הדוח היתה קובץ RAR מוגן בסיסמה המכיל קובץ LNK זדוני שהוריד דלת אחורית.
האירוע היה תקיפה ממוקדת ביותר. לפני שליחת הנוזקות לקורבן שאלו פושעי הסייבר את הקורבן אם יהיה פתוח לעיין במסמך שכתבו הקשור למדיניות החוץ של ארה"ב. הקורבן הסכים לעשות זאת, מכיוון שזו לא בקשה חריגה בתחום העבודה העיתונאי, אך APT35 לא שלחה את הקובץ מיד – במקום זאת המשיכה הקבוצה את האינטראקציה באמצעות מייל לגיטימי אחר המכיל רשימה של שאלות, אליו הגיב הקורבן בתשובות. לאחר מספר ימים של אינטראקציה שפירה ולכאורה לגיטימית, שלחו פושעי הסייבר את "טיוטת הדוח" העמוס בנוזקות.
טובי לואיס – ראש תחום ניתוח איומים עולמי ב- Darktrace, אומר שפרופיל המיקוד של APT35 בנוי ממה שמצפים מקבוצה הקשורה לממשלת איראן. לטענתו: "זו קבוצה המנסה להיות מותאמת אישית, להתגנב ולהישאר מתחת לרדאר וכדי לעשות כן, הם ממקדים את ההנדסה החברתית שלהם כדי לנסות ולשפר את ההחזר על ההשקעה".
במתקפת הסייבר הזו סיפקה APT35 את הנוזקה PowerStar – גרסה מעודכנת של אחת מהדלתות האחוריות המוכרות שלה, הידועה בשם CharmPower – אותה היא שלחה באימייל המכילה קובץ .LNK בתוך קובץ .RAR מוגן בסיסמה. לאחר שהופעל על ידי הקורבן, הוריד קובץ ה- .LNK את PowerStar מספק האחסון Backblaze ותשתית הנשלטת על ידי פושעי הסייבר. לאחר מכן אוספת נוזקת PowerStar כמות קטנה של מידע מערכת מהמחשב שנפרץ ושולחת אותו באמצעות בקשת POST לכתובת שרת פקודה ושליטה (C2).
Volexity מאמינה שהגרסה הזו של PowerStar מורכבת במיוחד וחושדת שהיא נתמכת ככל הנראה על ידי רכיב צד שרת מותאם אישית, הממכן פעולות פשוטות עבור מפעילי הנוזקה. כמו כן כוללת הנוזקה פונקציות עיכוב זיהוי ומעניקה לפושעי הסייבר אפשרות השמדה עצמית כדי למנוע ניתוח עתידי של פונקציונליות המפתח של הנוזקה: "PowerStar מגבילה את הסיכון של חשיפת הנוזקה לניתוח וזיהוי על ידי אספקת שיטת הפענוח בנפרד מהקוד הראשוני ולעולם לא תכתוב אותו לדיסק", מסבירה Volexity ומוסיפה: "יש לזה את הבונוס של פעולה כמעקה בטיחות תפעולי, שכן ניתוק שיטת הפענוח משרת הפיקוד והבקרה מונע פענוח מוצלח עתידי של מטען PowerStar התואם."
חוקרי Volexity סיפרו שהם צופים בקביעות בפעולות APT35, אך מוצאים שהקבוצה ממעטת לפרוס נוזקות כחלק ממתקפות הסייבר שלה: "השימוש החסכוני הזה בנוזקות בפעילותם, ככל הנראה מגביר את הקושי במעקב אחר מתקפותיהם".
APT35 פעילה כבר יותר מעשור. לפי בלוג משנת 2021 של Darktrace השיקה APT35 באותה תקופה מתקפות סייבר נרחבות נגד ארגונים ופקידי ממשל ברחבי צפון אמריקה והמזרח התיכון. ייחוס ציבורי אפיין את APT35 כפושעי סייבר בחסות איראן ועל פי החשד, משמשות מתקפות הסייבר האחרונות של APT35 נגד מטרות פיזיות פוטנציאליות של מתנגדי איראן.
