Grupa hakerska powiązana z irańskim państwem, znana jako Charming Kitten, została ostatnio powiązana z wdrożeniem nowej wersji swojego znanego już złośliwego oprogramowania BellaCiao. Tym razem przyjęła ona formę zapisaną w języku C++, zwaną BellaCPP. Odkrycie tego wariantu miało miejsce w trakcie badania zainfekowanego systemu w Azji, w którym naukowcy z Kaspersky wykryli również klasyczną wersję BellaCiao.
BellaCiao została po raz pierwszy opisana w kwietniu 2023 roku przez rumuńską firmę Bitdefender jako specjalnie zaprojektowany „dropper”. Droppery to rodzaj szkodliwego oprogramowania używanego do dostarczania kolejnych, znacznie groźniejszych ładunków na infekowane urządzenia. BellaCiao była wykorzystywana przez Charming Kitten do prowadzenia cyberataków wymierzonych w cele w Stanach Zjednoczonych, na Bliskim Wschodzie i w Indiach. Ich działania obejmowały zarówno zaawansowane techniki inżynierii społecznej, jak i wykorzystanie luk w oprogramowaniu.
Charming Kitten, znana również pod różnymi aliasami, takimi jak APT35, ITG18 czy Mint Sandstorm, jest jedną z najbardziej rozpoznawalnych grup APT (ang. Advanced Persistent Threat) powiązanych z Korpusem Strażników Rewolucji Islamskiej (IRGC) w Iranie. Grupa ta ma na koncie wieloletnią historię stosowania inteligentnych kampanii hakerskich, które opierały się na budowaniu zaufania ofiar poprzez podszywanie się pod różne tożsamości. Następnie przemycała złośliwe oprogramowanie, korzystając z podatności powszechnie używanych aplikacji, takich jak Microsoft Exchange Server czy Zoho ManageEngine.
Według badaczy z Kaspersky, wariant BellaCPP zachowuje większość funkcji swojej poprzedniczki, ale został pozbawiony pewnych charakterystycznych elementów. Przykładem jest usunięcie tzw. „web shella” – narzędzia, które w pierwotnej wersji BellaCiao służyło do przesyłania plików i wykonywania poleceń w tle. W nowym wariancie, BellaCPP występuje w formie pliku DLL o nazwie „adhapl.dll”. Ten plik może ładować kolejne biblioteki, takie jak „D3D12_1core.dll”, które prawdopodobnie służą do tworzenia ukrytych tuneli SSH, umożliwiając zdalne zarządzanie zainfekowanym systemem.
BellaCPP różni się także brakiem bezpośrednich funkcji do przesyłania plików i uruchamiania dodatkowych poleceń za pomocą przeglądarki. Jednakże, co podkreśla badacz Mert Degirmenci, nadal wykorzystuje domeny, które wcześniej były powiązane z działalnością tej grupy hakerskiej. W praktyce oznacza to, że BellaCPP jest bardziej zamaskowaną i mniej inwazyjną wersją BellaCiao, co zwiększa jej trudność wykrycia przez klasyczne systemy zabezpieczeń.
Ten incydent jest kolejnym dowodem na zaawansowane umiejętności Charming Kitten. Grupa ta z powodzeniem rozwija swoje narzędzia w odpowiedzi na ulepszane mechanizmy obronne, co stawia kolejne wyzwania przed ekspertami ds. cyberbezpieczeństwa. Odkrycia, takie jak BellaCPP, podkreślają potrzebę ciągłego monitorowania aktywności tej grupy oraz adaptowania systemów ochrony, aby skutecznie przeciwdziałać zagrożeniom.
