Que es
El grupo APT
Imperial Kitten (también conocido como Smoke Sandstorm, Cuboid Sandstorm o Yellow Liderc) está asociado al país de Irán. Este actor cibernético opera bajo múltiples alias y se ha vinculado a actividades de ciberataques en el ámbito regional. Se le conoce por su uso de herramientas específicas, como
Backdoor.Syskit,
Poison Frog o
Infostealer, que sugieren un enfoque enfocado en la
suecia de datos y la
compromiso de sistemas.
Contexto
Los datos verificados por OSINT indican que el grupo está relacionado con actividades de
ciberespionaje y
infiltración de redes, probablemente dirigidas a entidades gubernamentales o empresas críticas. Los alias incluyen
TA456, APT35 y
G1012, lo que refleja una operativa con múltiples actividades en distintos niveles de complejidad. El grupo ha utilizado herramientas como
Sha.exe,
Sha432.exe o el script
get-logon-history.ps1, lo que sugiere un interés en la
recopilación de credenciales y la
infección de sistemas Windows.
Analisis
A partir de los indicadores de compromiso (IOC) verificados, se pueden identificar patrones de comportamiento. Por ejemplo:
-
Backdoor.Syskit: Un dominio asociado a una herramienta de backdoor que podría permitir acceso no autorizado a sistemas.
-
Sha.exe y
Sha432.exe: Archivos ejecutables sospechosos, posiblemente utilizados para inyectar código malicioso o exfiltrar datos.
-
stereoversioncontrol.exe: Un archivo que podría ser un módulo de control remoto o herramienta de explotación.
-
get-logon-history.ps1: Un script PowerShell que podría recopilar información de inicio de sesión, lo que sugiere una actividad de
suecia de datos.
Estos IOC no solo muestran la presencia del grupo en redes, sino también su capacidad para
infectar sistemas y
explotar vulnerabilidades en entornos Windows. La combinación de dominios y archivos sugiere un
enfoque multifacético, con una preocupación clara por la
compromiso de infraestructuras críticas.
Conclusion
El grupo
Imperial Kitten (también conocido como APT35) representa una amenaza significativa para sistemas en Irán y posiblemente otros países del región. Su uso de alias y herramientas específicas refleja una operativa bien estructurada, con un objetivo claro de
infiltración y recopilación de datos. Los IOC identificados, como los dominios y archivos mencionados, son claves para detectar su actividad en redes. Las organizaciones deben monitorear estos patrones y mantener sistemas de seguridad actualizados para mitigar riesgos asociados a este actor APT.
| Tipo |
Valor |
Contexto |
| Domain |
backdoor.syskit |
OSINT |
| Domain |
sha.exe |
OSINT |
| Domain |
sha432.exe |
OSINT |
| Domain |
stereoversioncontrol.exe |
OSINT |
| Domain |
get-logon-history.ps1 |
OSINT |
| File |
Sha.exe |
OSINT |
| File |
Sha432.exe |
OSINT |
| File |
stereoversioncontrol.exe |
OSST |
| File |
get-logon-history.ps1 |
OSINT |