Peretas yang Terhubung dengan Iran Targetkan Israel dengan Malware MURKYTOUR Lewat Kampanye Lowongan Kerja Palsu

Aktor ancaman yang terafiliasi dengan Iran, dikenal sebagai UNC2428, terpantau menyebarkan backdoor bernama MURKYTOUR dalam kampanye rekayasa sosial bertema lowongan kerja yang ditujukan ke Israel pada Oktober 2024.

Mandiant, perusahaan milik Google, menggambarkan UNC2428 sebagai aktor ancaman yang sejalan dengan Iran dan terlibat dalam operasi spionase siber. Grup ini dikatakan menyebarkan malware melalui "rantai teknik penipuan yang kompleks."

“Mandiant menyatakan bahwa kampanye rekayasa sosial UNC2428 menargetkan individu dengan menyamar sebagai peluang rekrutmen dari kontraktor pertahanan Israel, Rafael,” tulis laporan tahunan M-Trends 2025 mereka.

Individu yang tertarik akan diarahkan ke situs yang meniru tampilan Rafael, lalu diminta mengunduh sebuah alat bantu untuk melamar pekerjaan.

Alat itu bernama "RafaelConnect.exe", sebuah penginstal yang dijuluki LONEFLEET. Setelah dijalankan, alat ini menampilkan antarmuka grafis (GUI) kepada korban untuk mengisi data pribadi dan mengunggah resume.

Setelah dikirimkan, backdoor MURKYTOUR akan dijalankan di latar belakang oleh peluncur bernama LEAFPILE, memberikan akses permanen kepada penyerang ke perangkat yang telah dikompromikan.

“Aktor ancaman yang terafiliasi Iran memanfaatkan antarmuka grafis (GUI) untuk menyamarkan eksekusi dan instalasi malware sebagai aplikasi atau perangkat lunak yang sah,” kata Mandiant. “Penambahan GUI yang menyerupai penginstal normal dan dirancang menyerupai tampilan umpan bisa mengurangi kecurigaan dari target.”

Kampanye ini juga tumpang tindih dengan aktivitas yang sebelumnya dikaitkan oleh Direktorat Siber Nasional Israel kepada aktor ancaman Iran bernama Black Shadow.

Grup ini diyakini beroperasi atas nama Kementerian Intelijen dan Keamanan Iran (MOIS), dan dikenal menyerang berbagai sektor industri di Israel, seperti akademik, pariwisata, komunikasi, keuangan, transportasi, kesehatan, pemerintahan, dan teknologi.

Menurut Mandiant, UNC2428 adalah salah satu dari banyak klaster ancaman Iran yang membidik Israel di tahun 2024. Salah satu grup yang menonjol adalah Cyber Toufan, yang menargetkan pengguna di Israel dengan malware penghancur eksklusif bernama POKYBLIGHT.

Grup lain yang terhubung dengan Iran, UNC3313, telah melakukan operasi pengintaian dan pengumpulan informasi strategis melalui kampanye spear-phishing. UNC3313 pertama kali didokumentasikan oleh Mandiant pada Februari 2022 dan diyakini terkait dengan grup MuddyWater.

“Aktor ancaman ini menyimpan malware di layanan berbagi file populer dan menyisipkan tautan dalam umpan phishing bertema pelatihan dan webinar,” kata Mandiant. “Dalam salah satu kampanye, UNC3313 menyebarkan JELLYBEAN dropper dan backdoor CANDYBOX ke organisasi dan individu target.”

Serangan oleh UNC3313 diketahui sangat mengandalkan hingga sembilan alat pemantauan jarak jauh (RMM) legal, sebuah taktik khas grup MuddyWater, guna menghindari deteksi dan mempertahankan akses jarak jauh secara terus-menerus.

Mandiant juga mengamati pada Juli 2024 adanya dugaan aktor ancaman terhubung dengan Iran yang menyebarkan backdoor bernama CACTUSPAL dengan menyamar sebagai penginstal perangkat lunak akses jarak jauh Palo Alto Networks GlobalProtect.

Wizard instalasi ini, setelah dijalankan, secara diam-diam memasang backdoor berbasis .NET yang hanya memastikan satu instance berjalan sebelum terhubung ke server command-and-control (C2) eksternal.

Selain penggunaan alat RMM, aktor ancaman Iran seperti UNC1549 juga dilaporkan mulai memanfaatkan infrastruktur cloud dalam taktik mereka untuk menyamarkan aktivitas agar tampak seperti layanan umum yang digunakan di lingkungan perusahaan.

Sumber/Lanjut membaca:
https://thehackernews.com/2025..../04/iran-linked-hack