El informe identifica como autor de los ataques a un actor iraní recientemente descubierto, apodado MalKamak, que habría estado operando desde al menos 2018 y hasta hoy era desconocido.

Según Cybereason, la campaña de ciberespionaje, aún activa, aprovecha un troyano de acceso remoto (RAT) muy sofisticado y no descubierto previamente, apodado ‘ShellClient’, que evade las herramientas antivirus y otros dispositivos de seguridad y ataca los servicios de nube pública de Dropbox para lograr el comando y control.

El informe, titulado ‘Operación GhostShell: nuevo virus RAT ataca a empresas multinacionales del sector Aeroespacial y de Telecomunicaciones’, expone ataques ocultos contra empresas de Europa, Estados Unidos, Oriente Medio y Rusia.

Asegura que hay posibles conexiones con varios actores de amenazas patrocinadas por el Estado iraní, como Chafer APT (APT39) y Agrius APT. Este informe llega tras la publicación en agosto del estudio ‘DeadRinger’ de Cybereason, que se referíamúltiples campañas APT chinas dirigidas a proveedores de telecomunicaciones.