Powerstar backdoor
A Volexity kutatásai alapján a Charming Kitten, az iráni Iszlám Forradalmi Gárdához kötött állami támogatású fenyegetési szereplő egy testre szabott spear phishing kampányában egy új, teljes funkcionalitású PowerShell hátsó ajtót használ, amelyet Powerstar-nak neveztek el.
A Charming Kitten a pszichológiai manipulációs támadások tartós szereplője, amit a célpontok csábítására használnak, gyakran személyre szabott módon a közösségi média platformokon, és hosszan tartó beszélgetéseket folytatnak a kapcsolatteremtés érdekében, mielőtt rosszindulatú linket küldenek az áldozatnak. A Charming Kitten csoportot más fenyegetéselemzők APT35, Cobalt Illusion, Mint Sandstorm (Phosphorus) és Yellow Garuda néven is követik
A Charming Kitten által szervezett közelmúltbeli kampányok során más kártékony kódokat is alkalmaztak, így a PowerLess és a BellaCiao, ami arra utal, hogy a csoport a rendelkezésére álló kémeszközök sorát használja fel stratégiai céljainak elérése érdekében.
A Powerstart backdoort, a CharmPower névű backdoor utódját először a Check Point dokumentálta 2022 januárjában.
A 2023. májusi támadási hullám egy jelszóval védett RAR-fájlon belüli LNK-fájlt használ, hogy letöltse a Backblaze hátsó ajtóját, miközben lépéseket tesz annak érdekében, hogy megadályozza az elemzést. A Powerstar-rala Charming Kitten igyekezett korlátozni annak kockázatát, hogy a rosszindulatú programot észleljék azzal, hogy a kezdeti kódtól elkülönítve szállította, és soha nem írtak a meghajtóra.
A hátsó ajtó számos olyan funkcióval rendelkezik, amelyek lehetővé teszik a PowerShell és C# parancsok távoli futtatását, a folyamatos jelenlétet, a rendszerinformációk gyűjtését, valamint további modulok letöltését és futtatását a futó folyamatok, képernyőképek rögzítését, bizonyos kiterjesztéseknek megfelelő fájlok keresését. A CharmPower-hez képest továbbfejlesztett és kibővített tisztító modult is tartalmaz, amely a jelenlétének minden nyomát eltűnteti, valamint a fennmaradással kapcsolatos rendszerleíró kulcsok törlésére szolgál.