De acuerdo con la investigación, la operación ha tenido lugar desde 2016 y ha permanecido oculta hasta la fecha.
Los datos recopilados sobre los grupos señalados proporcionan información que puede ser utilizada contra estas víctimas. El malware accede a información como las listas de contactos almacenados en el dispositivo móvil infectado, registros de llamadas telefónicas, mensajes SMS, historial del navegador y marcadores, ubicación geográfica, fotos o grabaciones de voz.
Quién está detrás de la operación
Aunque la identidad del actor detrás del ataque permanece sin confirmar, todo apunta a que la operación es de origen iraní. Algunos expertos en inteligencia señalan a las entidades gubernamentales iraníes, como el Cuerpo de la Guardia Revolucionaria Islámica (CGRI), el Ministerio de Inteligencia, el Ministerio del Interior y otros, ya que con frecuencia realizan una vigilancia exhaustiva de estos grupos.
De hecho, estos programas de vigilancia se usan contra individuos y grupos que podrían representar una amenaza para la estabilidad del régimen iraní, entre los que se incluyen disidentes internos y fuerzas de oposición, así como también defensores de ISIS y la minoría kurda establecida principalmente en el oeste de Irán.
Aunque la investigación todavía sigue en marcha, ya se ha revelado el alcance total de estos ataques dirigidos, su infraestructura y sus víctimas, así como la posible relación política detrás de ello. Se ha denominado como "Domestic Kitten".
Aplicaciones móviles como fuente de recopilación de datos
Este tipo de ataque utiliza aplicaciones de gran interés para las víctimas. Por ejemplo, los investigadores descubrieron un fondo de pantalla con la marca ISIS, "actualizaciones" de la agencia de noticias ANF Kurdistan y una versión falsa de la aplicación de mensajería, Vidogram.
El ataque parece apuntar en gran medida a defensores y seguidores de ISIS, puesto que una de las aplicaciones infectada contenía fondos de pantalla de la organización terrorista. En el caso de ANF, un sitio web legítimo de noticias kurdas, los cibercriminales diseñaron una aplicación que suplantaba la app de la agencia original con el fin de engañar a sus objetivos. Por tanto, los nombres y el contenido de estas aplicaciones hacen pensar que los grupos políticos y usuarios específicos, principalmente los partidarios de ISIS y el grupo étnico kurdo, son el blanco de la operación.
El origen y alcance de las víctimas
El estudio revela que hasta el momento 240 usuarios han sido víctimas de esta campaña de vigilancia. Además, debido a la estrategia de sus creadores, se conoce que más del 97% de las víctimas son iraníes. Además de estos objetivos descubiertos, también se han encontrado dispositivos infectados en Afganistán, Irak y Gran Bretaña.
Si bien ya se tiene bastante información sobre el número de víctimas y sus características, la cantidad de personas afectadas por esta operación es mucho mayor. Esto se debe a que los atacantes también recogieron la lista de contactos completa almacenada en el dispositivo móvil de cada víctima, incluyendo los nombres completos y al menos uno de sus números de teléfono. Como consecuencia de las llamadas telefónicas y contenidos de SMS robados por los ciberdelincuentes, la información privada de miles de usuarios que no pertenecen a estos grupos también se ha visto comprometida.
Si (
No(
