Un groupe de piratage basé en Iran connu sous le nom de Pioneer Kitten viole des organisations de défense, d’éducation, de finance et de soins de santé à travers les États-Unis et travaille avec des affiliés de plusieurs opérations de ransomware pour extorquer les victimes.
Le groupe de menaces (également suivi sous les noms de Fox Kitten, UNC757 et Parisite) est actif depuis au moins 2017 et aurait un lien présumé avec le gouvernement iranien.
Comme l’ont averti aujourd’hui CISA, le FBI et le Centre de lutte contre la cybercriminalité du département de la Défense dans un avis conjoint, les attaquants monétisent leur accès aux réseaux des organisations compromises en vendant des informations d’identification d’administrateur de domaine et des privilèges de contrôle de domaine complets sur les cybermarchés tout en utilisant les poignées « Br0k3r » et, plus récemment, « xplfinder ».
« Plus récemment, le FBI a identifié ces acteurs collaborant directement avec des affiliés de ransomware pour permettre des opérations de cryptage en échange d’un pourcentage des paiements de rançon. Ces acteurs ont collaboré avec les affiliés ransomware NoEscape, Ransomhouse et ALPHV (alias BlackCat) », ont déclaré les agences fédérales.
« L’implication des cyberacteurs iraniens dans ces attaques par ransomware va au-delà de la fourniture d’accès; ils travaillent en étroite collaboration avec les affiliés de ransomware pour verrouiller les réseaux de victimes et élaborer des stratégies sur les approches pour extorquer les victimes. »
Tout en travaillant en étroite collaboration avec les opérateurs de ransomwares dans ces attaques, Pioneer Kitten garde ses « partenaires » dans l’ignorance, car les acteurs de la menace ne divulguent pas leur nationalité et leur origine aux opérateurs de ransomwares avec lesquels ils travaillent.
Depuis juillet 2024, les acteurs pionniers de la menace Chaton recherchent des passerelles de sécurité Check Point potentiellement vulnérables à CVE-2024-24919.
De plus, depuis avril 2024, ils ont également effectué des analyses de masse pour les périphériques VPN PAN-OS et GlobalProtect de Palo Alto Networks, probablement dans le cadre de la recherche de périphériques vulnérables à une vulnérabilité d’injection de commande de gravité maximale (CVE-2024-3400).
Historiquement, le groupe de menaces était connu pour cibler les organisations en exploitant les exploits Citrix Netscaler CVE-2019-19781 et CVE-2023-3519 et les exploits CVE-2022-1388 contre les appareils F5 BIG-IP.
Pioneer Kitten a également été vu en train d’essayer de vendre l’accès à des réseaux compromis sur des forums clandestins en juillet 2020, indiquant une tentative de diversifier le flux de revenus du groupe de piratage.
Dans un autre avis conjoint publié en septembre 2020, la CISA et le FBI ont averti que le groupe de menaces Pioneer Kitten « a la capacité ,et probablement l’intention, de déployer des ransomwares sur les réseaux des victimes » et qu’ils ont été repérés « vendant l’accès à une infrastructure réseau compromise dans un forum de pirates en ligne. »
Selon l’analyse du FBI, les pirates informatiques basés en Iran sont associés au gouvernement iranien (GOI) et utilisent le nom de la société iranienne « Danesh Novin Sahand » comme couverture. Ils ont également été liés à des attaques de vol de données visant des organisations en Israël et en Azerbaïdjan à l’appui des intérêts du gouvernement israélien.