Una campagna di spionaggio informatico contro industrie aerospaziali e delle telecomunicazioni principalmente in Medio Oriente ma con vittime anche negli Stati Uniti, Russia ed Europa. A individuarla, per la prima volta, un team di ricercatori di Cybereason secondo i quali la campagna trojan va avanti almeno dal 2018.
Durante l’indagine, la squadra Nocturnus ha scoperto un Rat (Remote Access Trojan) precedentemente non documentato, soprannominato ShellClient, che è stato impiegato come strumento di spionaggio principale nella cosidetta operazione GhostShell mirata a rubare informazioni sensibili su asset critici, infrastrutture e tecnologie. (QUI IL DOCUMENTO TECNICO DELL’INDAGINE).
Il team composto da Assaf Dahan, Daniel Frank, Tom Fakterman e Chen Erlich ha scoperto che il Rat ShellClient denominato MalKamak e di provenienza iraniana, era in grado di eludere gli strumenti antivirus e riusciva a rimanere non rilevato e quindi pubblicamente sconosciuto. Inoltre, la ricerca ha evidenziato possibili connessioni con altri attori di minacce Apt “sponsorizzate” dallo Stato iraniano come Chafer Apt (APT39) e Agrius Apt.
Gli attacchi sono stati osservati prevalentemente nella regione del Medio Oriente, ma si estendono anche a Stati Uniti, Russia ed Europa. Reso operativo per la prima volta nel 2018 , e da allora in continuo sviluppo, il Rat GhostClient è stato in grado in ogni nuova versione di aggiungere caratteristiche e stealth e gli attacchi sono continuati almeno fino allo scorso mese di settembre. Le versioni più recenti di ShellClient hanno operato a danno dei servizi di archiviazione sul cloud attraverso Dropbox, per passare inosservate e confondersi con normale traffico di rete.
Durante la prima ispezione del Rat ShellClient, il trojan è stato individuato in esecuzione come “svchost.exe”, e il suo nome interno era mascherato come “RuntimeBroker.exe”.
