Un groupe de cybercriminels aurait mis au point un nouveau malware baptisé BellaCiao qui agit comme un injecteur pour le dépôt de futures charges utiles. Ce malware aurait infecté des serveurs Microsoft Exchange et serait très probablement lié au gouvernement iranien. Les attaquants de Bitdefender qui ont découvert ce malware soupçonnent les pirates d'exploiter l'un des exploits Exchange connus de ces dernières années pour déployer BellaCiao. L'implant désactive Microsoft Defender à l'aide d'une commande PowerShell et crée un nouveau service de persistance appelé Microsoft Exchange Services Health ou Exchange Agent Diagnostic Services. Une fois déployé, le malware interroge un serveur de commande et de contrôle par DNS à l'aide d'un canal de communication personnalisé mis en place par les auteurs de l'attaque. Les informations de débogage et les chemins d'accès aux fichiers de compilation laissés dans l'exécutable laissent penser que les attaquants ont classé leurs victimes par code de pays. Le groupe responsable de ce malware est connu dans l'industrie de la sécurité sous le nom de Charming Kitten, APT35 ou Phosphorus et opère pour le compte du Corps des gardiens de la révolution islamique (CGRI).
Cette attaque est préoccupante car elle montre que les cybercriminels continuent de développer des outils sophistiqués pour mener des attaques ciblées contre des entreprises et des gouvernements. Les entreprises doivent donc être vigilantes et mettre en place des mesures de sécurité solides pour protéger leurs systèmes et leurs données. Les autorités doivent également poursuivre les responsables de ces attaques et mettre fin à leur activité malveillante.