Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe campagne genaamd CRESCENTOOGSTwaarschijnlijk gericht tegen aanhangers van de aanhoudende protesten van Iran om informatiediefstal en langdurige spionage uit te voeren.
De Acronis Threat Research Unit (TRU) zei dat het de activiteit na 9 januari observeerde, waarbij de aanvallen waren ontworpen om een kwaadaardige lading af te leveren die dient als een trojan voor externe toegang (RAT) en informatiedief om opdrachten uit te voeren, toetsaanslagen te loggen en gevoelige gegevens te exfiltreren. Het is momenteel niet bekend of een van de aanvallen succesvol was.
“De campagne maakt gebruik van recente geopolitieke ontwikkelingen om slachtoffers ertoe te verleiden kwaadaardige .LNK-bestanden te openen, vermomd als protestgerelateerde afbeeldingen of video’s”, aldus onderzoekers Subhajeet Singha, Eliad Kimhy en Darrel Virtusio in een rapport dat deze week werd gepubliceerd.
“Deze bestanden zijn gebundeld met authentieke media en een rapport in de Farsi-taal met updates van ‘de opstandige steden van Iran.’ Deze pro-protestframing lijkt bedoeld om de geloofwaardigheid te vergroten en Farsi-sprekende Iraniërs aan te trekken die op zoek zijn naar protestgerelateerde informatie.”
CRESCENTHARVEST wordt, hoewel niet toegeschreven, verondersteld het werk te zijn van een aan Iran verbonden dreigingsgroep. Door de ontdekking is het de tweede dergelijke campagne die is geïdentificeerd als gericht op specifieke individuen in de nasleep van de landelijke protesten in Iran die eind 2025 begonnen.
Vorige maand heeft het Franse cyberbeveiligingsbedrijf HarfangLab een dreigingscluster beschreven genaamd RedKitten dat zich richtte op niet-gouvernementele organisaties en individuen die betrokken zijn bij het documenteren van recente mensenrechtenschendingen in Iran met als doel hen te infecteren met een aangepaste achterdeur die bekend staat als SloppyMIO.
Volgens Acronis is de exacte initiële toegangsvector die wordt gebruikt om de malware te verspreiden niet bekend. Er wordt echter vermoed dat de bedreigingsactoren vertrouwen op spear-phishing of ‘langdurige social engineering-inspanningen’ waarbij de operators in de loop van de tijd een band met de slachtoffers opbouwen voordat ze de kwaadaardige ladingen verzenden.
Het is vermeldenswaard dat Iraanse hackgroepen als Charming Kitten en Tortoiseshell een rijke geschiedenis hebben van het uitvoeren van geavanceerde, sociaal ontworpen aanvallen waarbij potentiële doelwitten onder valse persona’s worden benaderd en een relatie met hen wordt opgebouwd, die in sommige gevallen zelfs jaren kan duren, voordat ze het vertrouwen bewapenen om ze met malware te infecteren.
“Het gebruik van Farsi-taalinhoud voor social engineering en de gedistribueerde bestanden die de protesten in heroïsche termen weergeven, suggereren een intentie om Farsi-sprekende personen van Iraanse afkomst aan te trekken, die de aanhoudende protesten steunen”, merkte het in Zwitserland gevestigde beveiligingsbedrijf op.
Het startpunt van de aanvalsketen is een kwaadaardig RAR-archief dat beweert informatie te bevatten met betrekking tot de Iraanse protesten, waaronder verschillende afbeeldingen en video’s, samen met twee Windows-snelkoppelingsbestanden (LNK) die zich voordoen als een afbeelding of een videobestand door gebruik te maken van de dubbele extensietruc (*.jpg.lnk of *.mp4.lnk).
Zodra het misleidende bestand is gelanceerd, bevat het PowerShell-code om een ander ZIP-archief op te halen en tegelijkertijd een onschadelijke afbeelding of video te openen, waardoor het slachtoffer wordt misleid door te denken dat er interactie is geweest met een goedaardig bestand.
In het ZIP-archief bevindt zich een legitiem, door Google ondertekend binair bestand (“software_reporter_tool.exe”) dat is verzonden als onderdeel van het opruimprogramma van Chrome en verschillende DLL-bestanden, waaronder twee frauduleuze bibliotheken die door het uitvoerbare bestand worden geladen om de doelstellingen van de bedreigingsactor te realiseren –
- urtcbased140d_d.dll, een C++-implantaat dat de app-gebonden coderingssleutels van Chrome extraheert en decodeert via COM-interfaces. Het deelt overlappingen met een open-sourceproject dat bekend staat als ChromElevator.
- version.dll (ook bekend als CRESCENTHARVEST), een tool voor externe toegang die geïnstalleerde antivirusproducten en beveiligingstools weergeeft, lokale gebruikersaccounts op het apparaat opsomt, DLL’s laadt, systeemmetagegevens, browserreferenties, Telegram-desktopaccountgegevens en toetsaanslagen verzamelt.
CRESCENTHARVEST maakt gebruik van Windows Win HTTP API’s om te communiceren met de command-and-control (C2) server (“servicelog-information(.)com”), waardoor deze kan opgaan in het reguliere verkeer. Enkele van de ondersteunde opdrachten worden hieronder vermeld:
- Antiom anti-analysecontroles uit te voeren
- Zijnom de browsergeschiedenis te stelen
- Richtom mappen weer te geven
- Cwom de huidige werkmap op te halen
- CDom van map te veranderen
- GetGebruikerom gebruikersinformatie te verkrijgen
- psom PowerShell-opdrachten uit te voeren (werkt niet)
- KeyLogom keylogger te activeren
- Tel_som Telegram-sessiegegevens te stelen
- Kokom browsercookies te stelen
- Infoom systeeminformatie te stelen
- F_logom browsergegevens te stelen
- Uploadenom bestanden te uploaden
- schelpom shell-opdrachten uit te voeren
“De CRESCENTHARVEST-campagne vertegenwoordigt het nieuwste hoofdstuk in een decennium lang patroon van vermoedelijke cyberspionageoperaties van nationale staten die zich richten op journalisten, activisten, onderzoekers en diasporagemeenschappen wereldwijd”, aldus Acronis. “Veel van wat we hebben waargenomen in CRESCENTHARVEST weerspiegelt een gevestigde traditie: op LNK gebaseerde initiële toegang, side-loading van DLL via ondertekende binaire bestanden, het verzamelen van inloggegevens en social engineering afgestemd op de actualiteit.”
De onthulling komt dagen nadat The New York Times onthulde dat de Iraanse regering waarschijnlijk de locaties van de demonstranten via hun telefoons heeft gevolgd om hen via een sms-bericht te waarschuwen dat hun ‘aanwezigheid bij illegale bijeenkomsten’ was geregistreerd en dat ze onder ‘inlichtingentoezicht’ stonden.
Volgens hem was de maatregel een poging om de meningsverschillen te onderdrukken. Volgens een rapport dat vorige week werd gepubliceerd door de op Iran gerichte digitale rechtengroep Holistic Resilience, is de simkaart van sommige mensen die op sociale media berichten over de protesten en andere politieke onderwerpen opgeschort.
“De Islamitische Republiek bouwt aan een duidelijk model van digitale controle en surveillance, een model dat niet gebaseerd is op permanente isolatie maar op voorwaardelijke en onderbreekbare connectiviteit”, aldus RaazNet.
“De centrale pijler van dit model is het Nationaal Informatienetwerk (NIN). In tegenstelling tot de traditionele fysieke infrastructuur, zoals wegen of fabrieken, is het NIN geen statisch staatsproject. Net als andere digitale systemen evolueert het voortdurend mee met de vooruitgang in communicatietechnologieën, ondergaat het regelmatig versiebeheer en wordt het uitgebreid als reactie op veranderende technische en politieke vereisten.”
De stap maakt deel uit van een bredere inspanning die informatie combineert uit e-overheidsdatabases, bewakingscamera’s en malware die via social engineering wordt ingezet om toegang op afstand tot stand te brengen en de bewegingen van burgers online op een duurzame manier te monitoren. Eén zo’n tool is een lichtgewicht modulaire trojan genaamd 2Ac2 RAT, die is ontworpen voor apparaatcontrole en gegevensverzameling van slachtoffers.
