На установление взаимопонимания с потенциальными жертвами злоумышленники могли потратить несколько месяцев.
Иранские хакеры в течение 18 месяцев маскировались под видом инструктора по аэробике в ходе кампании по кибершпионажу, нацеленной на сотрудников и подрядчиков в оборонной и аэрокосмической сферах. Преступники заражали системы жертв вредоносным ПО для кражи учетных данных и другой конфиденциальной информации.
В ходе кампании, действующей по крайней мере с 2019 года, злоумышленники использовали социальные сети Facebook и Instagram, а также электронную почту, выдавая себя за фальшивую личность некой Марселлы Флорес (Marcella Flores). На установление взаимопонимания с потенциальными жертвами с помощью сообщений и электронной почты злоумышленники могли потратить несколько месяцев, прежде чем пытаться распространять вредоносное ПО.
Специалисты ИБ-фирмы Proofpoint связали данную кампанию с группировкой TA456 (также известной как Tortoiseshell), поддерживаемой правительством Ирана и связанной с иранскими вооруженными силами Корпуса стражей исламской революции (КСИР).
В публичном профиле Марселлы в Facebook утверждалось, что она якобы была инструктором по аэробике в Ливерпуле, Англия, а в списке ее друзей было несколько человек, которые работали в качестве оборонных подрядчиков.
Злоумышленники, создавшие фальшивую личность, использовали электронную почту, профили в социальных сетях, фотографии и даже кокетливые сообщения для большей правдоподобности. Спустя некоторое время злоумышленники использовали учетную запись Gmail для отправки жертве ссылки на Microsoft OneDrive, содержащей документ или видеофайл. Файл использовался для распространения нового варианта вредоносного ПО Lideric, который исследователи назвали Lempo.
Вредоносная программа обеспечивает преступникам персистентность на компьютере жертвы под управлением Windows, позволяя искать и красть конфиденциальную информацию. Похищенные логины и пароли могут помочь злоумышленникам проводить дальнейшие шпионские кампании. Вероятно, таким образом преступники ищут возможность продвинуться дальше по цепочке поставок и получить доступ к сетям оборонных и аэрокосмических предприятий.