Que es
ImperialKitten es un actor APT (Advanced Persistent Threat) vinculado al país de Irán, con múltiples aliases y nombres de codificación asociados a actividades de ciberdelincuencia. Este grupo se identifica en fuentes de inteligencia como Smoke Sandstorm, Cuboid Sandstorm, Yellow Liderc, TA456, APT35 y ImperialKitten. Se le atribuyen ataques de tipo infostealer y backdoor, con un enfoque en la extracción de datos sensibles y el uso de herramientas de ciberinfiltración.
Contexto
El grupo ImperialKitten opera como actor APT de alto nivel, con activos en el ámbito cibernético desde 2016. Se le asocia con actividades de espionaje digital y robo de información crítica, especialmente en sectores financieros y gubernamentales. La inteligencia de seguridad informa que este grupo ha sido catalogado como un malware de ciberataque complejo, con una serie de alias técnicos como Poison Frog, Sha.exe, Stereoversioncontrol.exe y Get-logon-history.ps1. No se ha confirmado la fecha exacta de su activación, pero sus actividades están documentadas en fuentes de inteligencia cibernética verificadas.
Análisis
Indicadores de Compromiso (IOCs) identificados desde fuentes OSINT incluyen:
Type |
Value |
Contexto |
| Domain | backdoor.syskit |
C2 (Comandos y Control) |
| Domain | sha.exe |
Servidor de exfiltración de datos |
| Domain | sha432.exe |
Herramienta de módulo malicioso |
| Domain | stereoversioncontrol.exe |
Código malicioso para análisis de sesiones |
| Domain | get-logon-history.ps1 |
Script PowerShell para extracción de credenciales |
| File | Sha.exe |
Exploit para ataque de tipo zero-day |
| File | Sha432.exe |
Carga de módulo malicioso para backdoor |
| File | stereoversioncontrol.exe |
Herramienta de análisis de sesiones de usuario |
| File | get-logon-history.ps1 |
Script para robo de credenciales en entornos Windows |
Conclusion
El grupo ImperialKitten representa una amenaza significativa debido a su capacidad de operar como actor APT con un enfoque en la extracción de datos críticos y la infección de sistemas. Las actividades del grupo se han asociado con ataques de tipo infostealer y backdoor, utilizando herramientas como Sha.exe y stereoversioncontrol.exe. Se recomienda monitorear redes, implementar actualizaciones de software y utilizar sistemas de detección de amenzas para mitigar el impacto de tales amenazas.