Floris Hulshoff Pol - 20 januari 2023

Malware-groep Playful Taurus gelinkt aan Iraanse overheid

Malware-groep Playful Taurus gelinkt aan Iraanse overheid image

Palo Alto Networks heeft een onderzoek naar Playful Taurus gepubliceerd. Deze malware-groep is een Chinese APT-groep die zich in het verleden vooral bezig hield met cyberspionagecampagnes gericht op overheids- en diplomatieke entiteiten in Noord-Amerika, Zuid-Amerika, Afrika en het Midden-Oosten.

Deze malware-groep staat ook bekend onder namen als APT15, BackdoorDiplomacy, Vixen Panda, KeChang en NICKEL en wordt in verband gebracht met activiteiten van de Iraanse regering.

Uit het onderzoek kwamen de volgende bevindingen:

Unit 42 identificeerde verschillende Iraanse overheidsinstanties die tussen juli en eind december 2022 probeerden verbinding te maken met bekende Playful Taurus malware-infrastructuur - deze activiteit suggereert een waarschijnlijke compromittering van het Iraanse ministerie van Buitenlandse Zaken, de Iraanse organisatie voor natuurlijke hulpbronnen en andere Iraanse overheidsinfrastructuur.

Unit 42 identificeerde nieuwe varianten van de Turian-backdoor.
Recente upgrades van de Turian-backdoor en nieuwe C2-infrastructuur wijzen erop dat deze actoren succes blijven boeken tijdens hun cyberspionagecampagnes.

De Chinese APT-acteur Playful Taurus blijft een actieve bedreiging voor overheids- en diplomatieke entiteiten in Noord- en Zuid-Amerika, Afrika en het Midden-Oosten.

Deze activiteit tussen China en Iran is opvallend omdat deze landen in 2021 een 25-jarige samenwerkingsakkoord hebben ondertekend, waarin afspraken zijn gemaakt over samenwerking op militair, economisch en veiligheidsgebied.

Daarnaast staan ook beide landen onder verschillende niveaus van sancties van de Verenigde Staten.

Het volledige blog van Unit 42 is hier te vinden.

Axians 12/11/2024 t/m 26/11/2024 BN+BW