No hay tregua de los pasteleros para los ciberhackers. En el visor de microsoft y su equipo de investigadores de inteligencia de amenazas desde febrero pasado, la ciberbanda Peach Sandstorm (también conocida como Holmium, Elfin y APT33), que se beneficia del apoyo de Irán, vuelve a trabajar. Esta vez, el grupo intenta distribuir una puerta trasera, llamada FalseFont, a personas que trabajan en empresas del sector de la industria de defensa. "FalseFont es una puerta trasera personalizada con una amplia gama de funciones que permite a los operadores acceder de forma remota a un sistema infectado, iniciar archivos adicionales y enviar información a sus servidores C2". explicado a finales de la semana pasada el editor.

El uso contra estos nuevos objetivos se observó por primera vez a principios de noviembre de 2023, explica Microsoft. "El desarrollo y uso de FalseFont es consistente con las actividades de Peach Sandstorm observadas por Microsoft durante el año pasado, lo que sugiere que Peach Sandstorm continúa mejorando su know-how", advirtió la firma de Redmond. Para buscar en su entorno la presencia de esta puerta trasera, el editor recomienda utilizar el siguiente indicador de compromiso C2: Digitalcodecrafters[.]com SHA-256: 364275326bbfc4a3b89233dabdaf3230a3d149ab774678342a40644ad9f8d614.

Una ciberbanda en maniobra activa desde hace meses

No es la primera vez, ni mucho menos, que Peach Sandstorm vuelve a poner la pólvora sobre la mesa. Según Microsoft, este grupo de ciberdelincuentes siempre ha mostrado interés por empresas del sector aeroespacial y de defensa y lo hace desde 2023. El pasado mes de septiembre, esta banda de ciberespías ya había utilizado un método de pulverización de palabras. pasar para recopilar inteligencia sobre industrias espaciales, defensa y también productos farmaceuticos.