Iráni backdoor a Közel-Keleten
Az UNC1860 egy kitartó és opportunista iráni államilag támogatott kiberszereplő, amely valószínűleg az iráni hírszerzési és biztonsági minisztériumhoz (MOIS) kapcsolódik. Az UNC1860 fő jellemzője a speciális eszközök és passzív backdoor-ok gyűjteménye, amelyek a Mandiant szerint több célt is támogatnak, beleértve a valószínűsíthető kezdeti hozzáférés-szolgáltató szerepét és azt a képességét, hogy tartós hozzáférést szerezzen a magas prioritású hálózatokhoz, például a kormányzati és távközlési hálózatokhoz a Közel-Keleten.
Az UNC1860 kereskedelmi eszközei és célpontjai párhuzamot mutatnak a Shrouded Snooper, a Scarred Manticore és a Storm-0861 nevű iráni székhelyű kiberszereplőkkel, amelyekről nyilvánosan jelentették, hogy a Közel-Kelet távközlési és kormányzati szektorát vették célba. Ezek a csoportok a jelentések szerint kezdeti hozzáférést biztosítottak olyan romboló és bomlasztó műveletekhez is, amelyek 2023 októberének végén a BABYWIPER segítségével Izraelt, 2022-ben pedig a ROADSWEEP segítségével Albániát célozták meg. A Mandiant nem tudja függetlenül megerősíteni, hogy az UNC1860 részt vett volna az említett műveletekhez való kezdeti hozzáférés biztosításában. Ugyanakkor azonosítottak speciális UNC1860-eszközöket, köztük GUI-alapú rosszindulatú vezérlőket, amelyeket valószínűleg az átadási műveletek megkönnyítésére terveztek, ami tovább erősíti az UNC1860 által játszott kezdeti hozzáférési bróker szerepet.
Az UNC1860 emellett egy arzenálnyi segédprogramot és passzív backdoor-ok gyűjteményét is fenntartja, amelyek célja, hogy megvesse lábát az áldozatok hálózatában, és tartós, hosszú távú hozzáférést biztosítson. Ezek közé a main-stage backdoor-ok közé tartozik egy Windows kernel módú meghajtó, amelyet egy legitim iráni vírusirtó szoftver szűrőillesztőjéből alakítottak át, ami tükrözi a csoport Windows kernel összetevőinek visszafejtési képességeit és a felderítés megkerülésének képességeit. Ezek a képességek azt mutatják, hogy az UNC1860 egy kifinomult kiberszereplő, amely valószínűleg különböző célokat támogat a kémkedéstől a hálózati támadási műveletekig. Mivel a közel-keleti feszültségek továbbra is hullámzóak, a Mandiant úgy véli, hogy a szereplőnek a célkörnyezetekhez való kezdeti hozzáférés megszerzésében való jártassága értékes eszközt jelent az iráni kiber-ökoszisztéma számára, amelyet az igények változásával változó célok elérésére lehet felhasználni.
