Proofpoint 警告稱，一項高度針對性的活動利用新的後門針對多個行業的多個阿拉伯聯合大公國組織。

這次攻擊被認為是由一名被追蹤為 UNK_CraftyCamel 的伊朗威脅行為者所為，他們使用多語言檔案來隱藏惡意負載，這種技術在間諜攻擊中相對少見。

Proofpoint 表示，威脅行為者於 2024 年 10 月入侵了一家印度電子公司的電子郵件帳戶，然後利用該帳戶向阿聯酋航空和衛星通訊以及關鍵交通基礎設施領域的組織發送惡意電子郵件。

這些訊息包含一個惡意 URL，用於下載一個 ZIP 檔案，該檔案似乎包含一個 XLS 文件，但實際上是一個使用雙擴展名的 LNK 文件，還有兩個多語言的 PDF 文件：一個附加了 HTA 文件，另一個附加了 ZIP 檔案。

透過精心建構資料並對齊頁首和頁腳，多語言檔案可以解釋為不同的格式，這取決於讀取方式。

作為攻擊的一部分，LNK 檔案被用於啟動解析 PDF/HTA 多語言檔案所需的命令並執行其中的相關內容。 HTA 腳本用於從第二個 PDF 建立可執行檔和 URL，並將 URL 寫入註冊表以實現持久性。

這個過程以執行名為 Sosano 的後門而結束，後門以 Golang 編寫，功能有限。後門首先休眠一段隨機時間，然後嘗試聯繫其命令和控制 (C＆C) 伺服器來接收命令。

根據收到的命令，惡意軟體可以取得目前目錄並更改工作目錄、列出目錄的內容、下載並載入其他內容、刪除目錄以及執行 shell 命令。

據 Proofpoint 稱，該後門還可以獲取並運行名為“cc.exe”的輔助負載，但遠端伺服器上無法使用該負載。

網路安全公司表示，UNK_CraftyCamel 的活動與已知威脅行為者的行動並不重疊，但顯示對手專注於保持低調。

然而，對手的戰術、技術和程序 (TTP) 表明與 TA451 和 TA455 一致，這兩個威脅行為者被認為與伊斯蘭革命衛隊 (IRGC) 有關。

「我們的分析表明，這次行動很可能是與伊朗結盟的對手所為，可能與伊斯蘭革命衛隊（IRGC）有關。 Proofpoint 威脅研究員 Joshua Miller 表示：“目標行業對於經濟穩定和國家安全都至關重要，因此它們成為更廣泛地緣政治格局中有價值的情報目標。”