卡巴斯基的研究人员报告，与伊朗有关的APT组织Ferocious Kitten正在利用即时通讯应用程序和VPN软件，如Telegram和Psiphon，来分发Windows RAT并监视目标设备。

据悉，该APT组织至少从2015年起就开始窃取受害者的敏感信息，而锁定这两个平台，是因为它们在伊朗很受欢迎。并且，该APT组织所使用的一些TTP与其他进行类似活动的组织（如Domestic Kitten和Rampant Kitten）的TTP相一致。

攻击活动中所采用的诱饵经常为政治主题，涉及抵抗基地或打击伊朗政权的图像或视频，这种情况表明他们攻击的目标是该国境内此类运动的潜在支持者。

此次活动被发现，是由于卡巴斯基调查了2020年7月和2021年3月上传到VirusTotal的两个武器化文件。

这两份文件包含了用于启动多阶段感染的宏，旨在部署一个新发现的名为MarkiRat的恶意软件。

该恶意软件允许攻击者窃取目标数据，记录击键，下载和上传任意文件，捕获剪贴板内容，并在受感染的系统上执行任意命令。

此外，研究人员分析的MarkiRAT恶意软件变体之一涉及一个普通的下载器，从一个硬编码的域中获取一个可执行文件。这个样本与该组织过去所使用的其他样本不同，有效载荷变为由恶意软件本身投放。这表示该组织可能正在对一些他们所使用的TTP进行修改。

专家们还发现了Psiphon工具的一个污点版本，这是一个用于逃避互联网审查的开源VPN软件。

值得重视的是，研究人员发现该组织的指挥和控制基础设施正在托管DEX和APK文件形式的安卓应用程序，很可能是该组织为了针对移动用户所采取的行动。

来源：securityaffairs