Cortafuegos y VPN están siendo utilizados como punto de entrada para piratas informáticos patrocinados por el estado iraní, identificados como Pioneer Kitten, que buscan obtener acceso a escuelas, bancos, hospitales, empresas del sector de defensa y agencias gubernamentales estadounidenses.
Los atacantes están obteniendo acceso a través de dispositivos vulnerables de Check Point, Citrix y Palo Alto Networks, según un declaración conjunta publicado por la Oficina Federal de Investigaciones (FBI), el Centro de Delitos Cibernéticos del Departamento de Defensa (DC3) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Es probable que los objetivos de Pioneer Kitten sean operaciones de recopilación de inteligencia para robar datos de contratistas de defensa estadounidenses en línea con los objetivos más amplios del gobierno iraní, así como recaudar fondos proporcionando acceso a grupos de ransomware.
“El FBI evalúa que un porcentaje significativo de las operaciones de estos actores de amenazas contra organizaciones estadounidenses tienen como objetivo obtener y desarrollar acceso a la red para luego colaborar con actores afiliados al ransomware para implementarlo”, dice el aviso.
Se ha observado que Pioneer Kitten (también rastreado como Fox Kitten, UNC757, Parisite, RUBIDIUM y Lemon Sandstorm) trabaja con los grupos de ransomware ALPHV/BlackCat, NoEscape y Ransomhouse para proporcionar acceso a sus objetivos.
Ha estado explotando una serie de vulnerabilidades conocidas, como CVE-2024-24919 para explotar dispositivos que utilizan Check Point Security Gateways, así como CVE-2024-3400 Para aprovechar las VPN PAN-OS y GlobalProtect de Palo Alto Networks sin parches, deshabilitar Antivirus y se desplazan lateralmente a medida que avanzan. El grupo también ha estado atacando a organizaciones con sede en Israel, los Emiratos Árabes Unidos y Azerbaiyán.
Otro grupo patrocinado por el Estado iraní también ha estado actuando en nombre del Cuerpo de la Guardia Revolucionaria Islámica de Irán para Recopilar información sobre las comunicaciones satelitales de EE.UU. utilizando un malware personalizado llamado Tickler.
“El FBI considera que un porcentaje significativo de las operaciones de estos actores de amenazas contra organizaciones estadounidenses tienen como objetivo obtener y desarrollar acceso a la red para luego colaborar con actores afiliados a ransomware para implementar ransomware”, continúa el comunicado. “El FBI observó el uso de esta técnica contra los sectores académico y de defensa de Estados Unidos, pero en teoría podría usarse contra cualquier organización. El FBI y la CISA advierten que si estos actores comprometieron su organización, pueden estar aprovechando sus cuentas de servicios en la nube para realizar actividades cibernéticas maliciosas y atacar a otras víctimas”.
