Check Point Research encontró archivos relacionados con ataques recientes contra instalaciones siderúrgicas en Irán. Un análisis inicial del malware, apodado "Chaplin" por los atacantes, descubrió que se basa en un malware de limpieza llamado “Meteor” que fue usado en los ataques contra el sistema ferroviario y el Ministerio de Carreteras y Desarrollo Urbano de Irán, el año pasado.

Aunque “Chaplin” se basa en herramientas de ataques anteriores, no contiene la función de borrado y no corrompe el sistema de archivos de la víctima. Sin embargo, evita que el usuario interactúe con la máquina, lo cierra y muestra en la pantalla una imagen de un solo cuadro que anuncia el ataque cibernético. El malware corrompe la máquina impidiendo que se inicie correctamente.

La imagen que se muestra en la computadora de la víctima presenta los logotipos de las víctimas recientes de “Predatory Sparrow”:

- Khouzestan Steel Company (KSC)
- Iranian Offshore Oil Company
- Ministerio de Carreteras y Desarrollo Urbano
- Ferrocarriles de la República Islámica de Irán

Podría darse el caso de que los archivos obtenidos se usaron contra KSC, ya que la empresa confirmó que estaba siendo atacada. Finalmente, como en los ataques anteriores del grupo, usaron su vieja broma y dirigieron a las víctimas al "64411", que es el número de la oficina del Líder Supremo de Irán.

El año pasado, Check Point Research analizó los eventos maliciosos contra los sistemas ferroviarios de Irán y pudo conectarlos con ataques anteriores de un grupo llamado “Indra” que opera desde 2019 contra objetivos en Irán y Siria.

“Predatory Sparrow”, quien asumió la responsabilidad del reciente ataque contra la industria siderúrgica de Irán, también es el que asumió la responsabilidad de los ataques contra los sistemas ferroviarios de Irán y el Ministerio de Carreteras y Desarrollo Urbano de Irán. Dado el uso de las mismas herramientas, métodos y técnicas, no es improbable que “Indra” y “Predatory Sparrow” sean el mismo grupo.

“El ataque reciente se suma a una avalancha de ataques realizados por grupos que se presentan a sí mismos como hacktivistas contra el régimen. La cantidad de ataques, su éxito y su calidad pueden sugerir que fueron realizados por un atacante de alto nivel o por un grupo de atacantes básicos, tal vez un estado-nación con interés en sabotear la infraestructura crítica de Irán, así como sembrar el pánico entre el público y los funcionarios iraníes. El grupo que asumió la responsabilidad de este ataque, llamado “Predatory Sparrow”, es el mismo que asumió la responsabilidad del ataque contra los ferrocarriles de Irán, las estaciones de radiodifusión y de servicio de Irán”, dijo Itay Cohen, jefe de investigación cibernética en Check Point Software.

“La investigación de Check Point Research, ha examinado varios ataques contra Irán y su infraestructura crítica durante el año pasado. En febrero de 2022, deconstruimos las herramientas cibernéticas utilizadas en un ataque contra la corporación nacional de medios iraní, Islamic Republic of Iran Broadcasting. En agosto de 2021, rastreamos los ataques cibernéticos en las estaciones de trenes de Irán hasta un grupo que se autodenominó como “Indra”, añadió Itay Cohen.