• ESET Research informeert dat de aan Iran gelinkte dreigingsgroep BladedFeline, Koerdische en Iraakse functionarissen aanviel met kwaadaardige tools die in hun systemen waren ontdekt.
• ESET ontdekte en analyseerde twee reverse tunnels (Laret en Pinar), een backdoor (Whisper), een kwaadaardige IIS-module (PrimeCache) en nog andere bijkomende tools.
• ESET schat, met zekerheid, dat BladedFeline een subgroep is van de aan Iran gelinkte OilRig.
MONTREAL, BRATISLAVA, 5 juni 2025 — Volgens onderzoekers van ESET heeft de aan Iran gelinkte dreigingsgroep BladedFeline Koerdische en Iraakse overheidsfunctionarissen in een recente cyberspionagecampagne aangevallen. De groep implementeerde een reeks kwaadaardige tools die in de gecompromitteerde systemen zijn ontdekt. Dit wijst op constante inspanningen om de toegang tot hooggeplaatste functionarissen en overheidsorganisaties in Irak en de Koerdische regio te behouden en uit te breiden. De nieuwste campagne belicht de evolutieve mogelijkheden van BladedFeline, met twee tunnelingtools (Laret en Pinar), meerdere aanvullende tools, een aangepaste backdoor Whisper en een kwaadaardige Internet Information Services (IIS)-module PrimeCache, beide door ESET geïdentificeerd.
Whisper logt in op een gecompromitteerd webmailaccount op een Microsoft Exchange-server en gebruikt dit om via e-mailbijlagen met de aanvallers te communiceren. PrimeCache werkt ook als een backdoor: het is een kwaadaardige IIS-module. Het vertoont ook overeenkomsten met de RDAT-backdoor die gebruikt wordt door de OilRig APT-groep (Advanced Persistent Threat).
Op basis van deze overeenkomsten in de code en van ander bewijsmateriaal, schat ESET in dat BladedFeline zeer waarschijnlijke een subgroep is van OilRig, een aan Iran gelinkte APT-groep die zich richt op overheden en bedrijven in het Midden-Oosten. De eerste implementaties in de jongste campagne zijn terug te linken aan OilRig. Deze tools laten de strategische focus zien van de groep op de gevolgde netwerken.
BladedFeline heeft constant gewerkt om illegale toegang tot Koerdische diplomaten te behouden, terwijl het tegelijkertijd een regionale telecommunicatieprovider in Oezbekistan uitbuitte en toegang tot functionarissen van de Iraakse overheid verder ontwikkelde en onderhield.
ESET Research denkt dat BladedFeline zich richt op de Koerdische en Iraakse regeringen voor cyberspionagedoeleinden en om strategische toegang te behouden tot de computers van hooggeplaatste functionarissen in beide overheidsinstanties. De Koerdische diplomatieke relatie met westerse landen, in combinatie met de oliereserves in de regio Koerdistan, maakt het een aantrekkelijk doelwit voor spionage en mogelijke te manipulatie door aan Iran gelinkte dreigingsactoren. In Irak proberen deze laatsten hoogstwaarschijnlijk de invloed van westerse regeringen tegen te werken na de Amerikaanse invasie en bezetting.
ESET verwacht dat BladedFeline doorgaat met het ontwikkelen van implantaten om de toegang tot zijn gecompromitteerde slachtoffergroep voor cyberspionage te behouden en uit te breiden.
Een meer gedetailleerde en technische analyse van BladedFeline’s tools die gebruikt worden in Operation RoundPress, lees de nieuwste blog van ESET Research “Whispering in the dark” op www.WeLiveSecurity.com. Volg ESET Research op Twitter (today known as X), BlueSky, en Mastodon, voor de nieuwste informatie over ESET Research.
Meer lezen
