12-11-2021
El grupo Lyceum (conocido como Hexane Spirline) con sede en Irán, destacado por primera vez por “Secureworks” en 2019, ha vuelto a dejar su huella con respecto a nuevos clústeres de actividad, identificados entre junio y septiembre / octubre de 2021, por investigadores de ciberseguridad de los grupos de Cyber Threat Intelligence (ACTI) de Accenture y del Equipo de Contrainteligencia Adversario de Prevailion (PACT).
Este último corroborando los resultados de las investigaciones han descubierto, una actividad particularmente virulenta con acento de intrusión en la red informática dirigida a proveedores de telecomunicaciones en Oriente Medio y África del Norte (MENA) en Israel, Marruecos, Túnez, Arabia Saudita, así como un Ministerio de Relaciones Exteriores en África.
Activo desde 2017, Lyceum se dirige a organizaciones en sectores de importancia estratégica nacional, incluidas organizaciones de petróleo y gas, así como proveedores de telecomunicaciones. Se sabe que Lyceum, patrocinado por Irán, se enfoca en áreas de importancia estratégica nacional para el ciberespionaje, mientras renueva su arsenal con nuevos implantes y amplía su alcance para incluir agencias gubernamentales. También se observaron algunas similitudes entre Lyceum y el infame grupo DNSpionage, asociado a su vez con el centro de negocios OilRig.
Las empresas de telecomunicaciones son objetivos de alto nivel para los jugadores de ciberespionaje, ya que una vez comprometidos, brindan acceso a varias organizaciones y suscriptores, además de sistemas internos que pueden usarse para aprovechar aún más el comportamiento malicioso. Además, las empresas de estas industrias también pueden ser utilizadas por los actores de amenazas o sus patrocinadores para monitorear a las personas de interés.
Lyceum utiliza dos familias de malware distintas, llamadas Shark y Milan (llamadas «James» por Kaspersky), cada una de las cuales permite la ejecución de comandos arbitrarios y la exfiltración de datos confidenciales de sistemas comprometidos a un atacante remoto, normalmente un servidor controlado. Lyceum probablemente continuará usando estas dos puertas traseras, aunque modificadas, ya que el grupo probablemente ha tenido éxito en mantener puntos de anclaje en las redes de víctimas a pesar de la divulgación pública de indicadores de compromiso asociados con sus operaciones ”, dijo el grupo. Como recordatorio, en 2018 Marruecos rompió relaciones diplomáticas con Irán. El Ministro de Asuntos Exteriores de Marruecos había alertado a principios de este año sobre la amenaza de Irán sobre Marruecos y la región del norte de África por su apoyo a las bandas terroristas en el Sahel y el Sáhara.
