Skip to content

Ta456

Come il gruppo hacker TA456 ha sfruttato Gmail e Facebook per sferrare attacco

Il gruppo di hacker TA456 ha utilizzato account Gmail e Facebook fittizi per compromettere i dipendenti di un appaltatore della difesa degli Stati Uniti. L'articolo di Giuseppe Gagliano

Un gruppo di hacker ha utilizzato account Gmail e Facebook fittizi per compromettere i dipendenti di un appaltatore della difesa degli Stati Uniti. Un rapporto pubblicato lunedì dalla società di sicurezza informatica Proofpoint con sede in California ha identificato gli hacker dietro la campagna di spionaggio come membri di un gruppo nome in codice Threat Actor 456 (TA456).

Conosciuto anche come Imperial Kitten e Tortoiseshell, TA456 è noto per perseguire obiettivi di spionaggio sotto la direzione del governo iraniano. Secondo Proofpoint, TA456 è tra i “più determinati” attori di minacce allineati all’Iran. La società di sicurezza informatica aggiunge che le attività di spionaggio di TA456 spesso prendono di mira “appaltatori di basi industriali della difesa” occidentali che sono noti per essere specializzati in Medio Oriente.

L’operazione più recente di TA456 ha coinvolto una fittizia personalità online che si chiamava “Marcella Flores”, nota anche come “Marcy Flores”, che sosteneva di vivere nella città britannica di Liverpool. Il gruppo ha utilizzato un account Gmail e un profilo Facebook falso per rafforzare la credibilità del profilo fittizio e per contattare i dipendenti degli appaltatori della difesa degli Stati Uniti. Uno di questi dipendenti ha iniziato a corrispondere con Flores su Facebook verso la fine del 2019.

Nel giugno 2021, dopo aver coltivato per oltre un anno la relazione con l’impiegata della difesa, Flores ha inviato all’impiegata un link a un file video, presumibilmente di se stessa. Il file conteneva un malware, noto come LEMPO, progettato per cercare computer mirati e fornire all’hacker le copie dei file trovati sui sistemi penetrati.

Facebook è apparentemente a conoscenza della campagna di spionaggio di TA456. Il mese scorso, la società di social media ha dichiarato di aver preso provvedimenti “contro un gruppo di hacker in Iran [al fine] di interrompere la loro capacità di utilizzare la loro infrastruttura per abusare della piattaforma [di Facebook], distribuire malware e condurre operazioni di spionaggio su Internet, prendendo di mira principalmente gli Stati Uniti”.

Torna su