De Federal Bureau of Investigation has warned stelt dat dreigingsactoren die aan Iran gelinkt zijn, het berichtenplatform Telegram gebruiken als onderdeel van malwarecampagnes gericht op individuen en organisaties. De waarschuwing wijst op activiteiten die verband houden met groepen, waaronder Handala, een pro-Palestijnse hacktivistengroep, en Homeland Justice, die de Amerikaanse autoriteiten eerder hebben gekoppeld aan het Islamitische Revolutionaire Garde van Iran.
Volgens de FBI gebruiken de aanvallers Telegram als onderdeel van hun commandostructuur. Dit stelt hen in staat om te communiceren met gecompromitteerde systemen, instructies te geven en gestolen data terug te krijgen zonder afhankelijk te zijn van traditionele servers. Onderzoekers zeiden dat deze aanpak detectie moeilijker kan maken omdat het gebruikmaakt van een breed beschikbare berichtendienst in plaats van een toegewijde kwaadaardige infrastructuur.
De campagnes maken gebruik van social engineering-technieken om malware te leveren. Doelwitten ontvangen bestanden of links die lijken legitieme software of documenten te zijn. Eenmaal geopend installeren deze bestanden kwaadaardige programma’s op Windows-apparaten. De malware is ontworpen om informatie te verzamelen van geïnfecteerde systemen, waaronder bestanden, screenshots en systeemgegevens, die vervolgens terug naar de aanvallers kunnen worden gestuurd.
De FBI zei dat de malware in meerdere fasen werkt. Initiële payloads zorgen voor toegang tot het systeem, terwijl latere componenten verbinding maken met Telegram-gebaseerde kanalen of bots om voortdurende communicatie mogelijk te maken. Deze opzet stelt aanvallers in staat om persistent te blijven en langdurig met het gecompromitteerde apparaat te blijven interageren.
De autoriteiten zeiden dat de activiteit zich richtte op een reeks individuen, waaronder journalisten, overheidsfunctionarissen, politieke figuren en anderen. In sommige gevallen zijn de campagnes in verband gebracht met pogingen om inlichtingen te verzamelen of informatie te verkrijgen die later openbaar kan worden gemaakt.
De waarschuwing volgt op recente wetshandhavingsmaatregelen tegen infrastructuur die aan dezelfde groepen verbonden is, waaronder de inbeslagname van websites die worden gebruikt om gestolen gegevens te verspreiden. De FBI zei dat het advies bedoeld is om technische details te geven die organisaties kunnen gebruiken om soortgelijke dreigingen te identificeren en te beperken.
Functionarissen adviseerden dat organisaties het netwerkverkeer monitoren op ongebruikelijke verbindingen met berichtenplatforms en ervoor zorgen dat systemen worden bijgewerkt en beschermd tegen bekende kwetsbaarheden. Het onderzoek naar de activiteit is nog gaande.