O grupo de hackers TA453, conhecido também como Charming Kitten (Gatinho Charmoso, em português) ou Phosphorus, atacou 25 "profissionais seniores" especialistas em estudos de genética, neurologia e oncologia baseados em Israel e nos Estados Unidos em 2020, anunciou a firma de cibersegurança, Proofpoint, em um relatório.
No entanto, a companhia não pode explicar exatamente o que hackers planejavam fazer com os dados obtidos no curso da cibercampanha chamada BadBlood, mas nota que o grupo utilizou credenciais recolhidas em ataques anteriores para extrair e-mails e usar contas comprometidas em novas operações.
A Proofpoint citou outros relatórios ligando Phosphorus ao governo iraniano e ao Corpo de Guardiões da Revolução Islâmica (IRGC, na sigla em inglês), mas ressaltou que não poderia "independentemente atribuir TA453 ao IRGC". A companhia de cibersegurança também notou que não podia "eventualmente determinar a motivação" de hackers envolvidos na campanha BadBlood.
Mesmo assim, de acordo com a empresa, as técnicas usadas em ataques contra pesquisadores médicos em Israel e nos Estados Unidos corresponderam a técnicas usadas anteriormente pelos hackers do grupo, porém, Phosphorus nunca as havia conduzido contra tais indivíduos.
A companhia relembrou que historicamente o TA453 atacou "dissidentes, acadêmicos, diplomatas e jornalistas [iranianos]", mas sugeriu que a recente campanha BadBlood poderia "ter sido a especifica necessidade para coleta [de dados] de inteligência a curto prazo".
Além disso, a Proofpoint adicionou que a cibercampanha contra indivíduos israelenses também seria "consistente com tensões geopolíticas entre Israel e Irã, que se intensificaram em 2020".
De acordo com o relatório, hackers utilizaram um clássico ataque de phishing (técnica de engenharia social usada para enganar usuários e obter informações confidenciais), enviando e-mails a suas vítimas como sendo um físico israelense proeminente, e as convidando para ler a reportagem anexa intitulada "Visão Geral de Armas Nucleares: Israel".
O e-mail continha o link que levava a uma página falsa e, em seguida, para o serviço em nuvem OneDrive, da Microsoft, que pedia ao usuário para inserir suas credenciais, permitindo então aos hackers roubá-las sem conhecimento do usuário.
Recentemente, a Microsoft anunciou que os hackers atacaram contas de 100 participantes da Conferência de Segurança em Munique, na Alemanha, em 2020, e de um número não especificado de funcionários de uma campanha presidencial em 2019, sem fazer menção ao país correspondente.