Das Federal Bureau of Investigation has warned behauptet, Bedrohungsakteure, die mit Iran in Verbindung stehen, nutzen die Messaging-Plattform Telegram als Teil von Malware-Kampagnen, die sich gegen Einzelpersonen und Organisationen richten. Die Warnung identifiziert Aktivitäten im Zusammenhang mit Gruppen, darunter Handala, eine pro-palästinensische Hacktivistengruppe, und Homeland Justice, die US-Behörden zuvor mit der Islamischen Revolutionsgarde Irans in Verbindung gebracht haben.
Laut FBI nutzen die Angreifer Telegram als Teil ihrer Führungs- und Kontrollinfrastruktur. Dies ermöglicht es ihnen, mit kompromittierten Systemen zu kommunizieren, Anweisungen zu geben und gestohlene Daten abzurufen, ohne auf traditionelle Server angewiesen zu sein. Ermittler erklärten, dass dieser Ansatz die Erkennung erschweren kann, da er einen weit verbreiteten Nachrichtendienst anstelle einer dedizierten bösartigen Infrastruktur nutzt.
Die Kampagnen basieren auf Social-Engineering-Techniken, um Malware zu liefern. Ziele erhalten Dateien oder Links, die wie legitime Software oder Dokumente erscheinen. Sobald sie geöffnet sind, installieren diese Dateien bösartige Programme auf Windows-Geräten. Die Malware ist darauf ausgelegt, Informationen von infizierten Systemen zu sammeln, darunter Dateien, Screenshots und Systemdaten, die dann an die Angreifer zurückgesendet werden können.
Das FBI erklärte, dass die Malware in mehreren Phasen operiert. Anfängliche Nutzlasten stellen Zugang zum System her, während nachfolgende Komponenten sich mit Telegram-basierten Kanälen oder Bots verbinden, um eine fortlaufende Kommunikation zu ermöglichen. Dieses Setup ermöglicht es Angreifern, die Persistenz aufrechtzuerhalten und über längere Zeit mit dem kompromittierten Gerät zu interagieren.
Die Behörden teilten mit, dass die Aktivität eine Reihe von Personen ins Visier genommen habe, darunter Journalisten, Regierungsbeamte, politische Persönlichkeiten und andere. In einigen Fällen wurden die Kampagnen mit Bemühungen in Verbindung gebracht, Informationen zu sammeln oder Informationen zu erhalten, die später öffentlich gemacht werden könnten.
Die Warnung folgt auf jüngste Maßnahmen der Strafverfolgungsbehörden gegen Infrastrukturen, die mit denselben Gruppen verbunden sind, einschließlich der Beschlagnahmung von Webseiten, die zur Verbreitung gestohlener Daten verwendet werden. Das FBI erklärte, die Warnung solle technische Details liefern, die Organisationen nutzen können, um ähnliche Bedrohungen zu identifizieren und abzumildern.
Beamte empfahlen Organisationen, den Netzwerkverkehr auf ungewöhnliche Verbindungen zu Messaging-Plattformen zu überwachen und sicherzustellen, dass die Systeme aktualisiert und gegen bekannte Schwachstellen geschützt sind. Die Untersuchung der Aktivität ist noch im Gange.