Kelompok peretas negara Iran yang dikenal sebagai Charming Kitten telah diamati menyebarkan varian C++ dari malware terkenal yang disebut BellaCiao.
Perusahaan keamanan siber Rusia Kaspersky, yang menjuluki versi baru tersebut BellaCPPmengatakan pihaknya menemukan artefak tersebut sebagai bagian dari penyelidikan “baru-baru ini” terhadap mesin yang disusupi di Asia yang juga terinfeksi malware BellaCiao.
BellaCiao pertama kali didokumentasikan oleh perusahaan keamanan siber asal Rumania, Bitdefender, pada bulan April 2023, dan menggambarkannya sebagai dropper khusus yang mampu mengirimkan muatan tambahan. Malware tersebut telah digunakan oleh kelompok peretas dalam serangan dunia maya yang menargetkan Amerika Serikat, Timur Tengah, dan India.
Ini juga salah satu dari banyak keluarga malware yang dikembangkan oleh aktor Charming Kitten selama bertahun-tahun. Berafiliasi dengan Korps Garda Revolusi Islam (IRGC) Iran, kelompok ancaman persisten tingkat lanjut (APT) juga dikenal dengan julukan APT35, CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (sebelumnya Phosphorus), Newscaster, TA453, dan Yellow Garuda .
Meskipun kelompok ini memiliki sejarah dalam mengatur kampanye rekayasa sosial yang cerdas untuk mendapatkan kepercayaan target dan mengirimkan malware, serangan yang melibatkan BellaCiao diketahui mempersenjatai kelemahan keamanan yang diketahui dalam aplikasi yang dapat diakses publik seperti Microsoft Exchange Server atau Zoho ManageEngine.
“BellaCiao adalah keluarga malware berbasis .NET yang menambahkan sentuhan unik pada suatu intrusi, menggabungkan persistensi tersembunyi dari shell web dengan kekuatan untuk membuat terowongan rahasia,” kata peneliti Kaspersky, Mert Degirmenci.
Varian C++ dari BellaCiao adalah file DLL bernama “adhapl.dll” yang mengimplementasikan fitur serupa seperti pendahulunya, berisi kode untuk memuat DLL lain yang tidak diketahui (“D3D12_1core.dll”) yang kemungkinan digunakan untuk membuat terowongan SSH.
Yang unik dari BellaCPP, bagaimanapun, adalah tidak adanya shell web yang digunakan di BellaCiao untuk mengunggah dan mengunduh file sewenang-wenang serta menjalankan perintah.
“Dari perspektif tingkat tinggi, ini adalah representasi C++ dari sampel BellaCiao tanpa fungsionalitas web shell,” kata Degirmenci, menambahkan BellaCPP “menggunakan domain yang sebelumnya dikaitkan dengan aktor.”
