La incumplimiento del contratista de seguridad con sede en Teherán, Amnban, ha arrancado la portada de un programa de espionaje de varios años que enterró silenciosamente en los sistemas de reservas de aerolíneas en África, Europa y Oriente Medio.
Los documentos internos y los videos capturados en pantalla obtenidos por el periodista de investigación Nariman Gharib revelan un reconocimiento metódico de Jordania Real, Airlines turcos, Wizz Air, Qatar Airways y más, todo dirigido por el Ministerio de Inteligencia de Irán vinculado a APT39.
Primero rastreado a fines de 2023 pero activo mucho antes, el kit de herramientas de malware, nocado “Trailblazer” de los respondedores de incidentes, revela los señuelos de phishing de lanza disfrazados de solicitudes legítimas de que manifiesto el vuelo para obtener un punto de apoyo en las estaciones de trabajo de la prueba de ayuda de la aerolínea.
Una vez dentro, Trailblazer despliega un cargador de C# ligero que deja caer su carga útil cifrada directamente en la memoria, borrando artefactos en disco y evadiendo agentes de punto final comunes.
El tráfico de comando y control se basa en la telemetría cifrada de TLS enviada al gráfico de Microsoft, lo que permite que las balizas de salida se mezclen con el tráfico de rutina de Office 365.
Analistas de Nariman Gharib anotado que se descubrió el mismo implante girando a través de portadores de carga como FedEx y DHL, subrayando el apetito del adversario por los datos logísticos que pueden mapear los movimientos de carga globales.
El alcance operativo es sorprendente: registros de nombre del pasajero, credenciales de API, escaneos de pasaporte y configuraciones VPN del aeropuerto desviadas en tiempo real a relés VPS registrados bajo dominios de aspecto benign como API-AzureCloud (.) Com.
Las aerolíneas en Qatar y Rusia parecen haber sido aprovechadas para la inteligencia, mientras que los transportistas en Jordania o Polonia fueron atacados para la vigilancia contradicional.
Según la telemetría compartida por un certificado europeo, un solo nodo de pionero exfiltrado de 12.6 GB de datos manifiestos durante un estallido de 48 horas en marzo de 2025, destacando tanto la eficiencia de ancho de banda del malware como la cobertura de detección limitada de las víctimas.
El impacto de la industria siguió rápidamente. Varios aeropuertos regionales informaron apagones inexplicables que coinciden con los picos de baliza de Trailblazer, y un transportista del Golfo se vio obligado a congelar su programa frecuente después de que los atacantes reutilizaran millas robadas para viajar en mulas.
Una operación patrocinada por el estado que recolecta millones de datos personales de los pasajeros para la máquina de inteligencia de Irán (Fuente-Nariman Gharib)
Los reguladores internacionales ahora temen que la manipulación a largo plazo de las manifiestas de pasajeros pueda permitir el seguimiento físico o incluso el sabotaje cinético si las asignaciones de la puerta se alteran a escala.
Evasión de detección a través de parches en memoria
El talento más insidioso de Trailblazer es su motor de parcheo en memoria, una rutina que engancha las llamadas de la API de Windows en tiempo de ejecución para falsificar los resultados del escaneo que se volvió a los controladores antivirus.
Arthur, Departamento de API en Kucoin (Fuente – Nariman Gharib)
El implante enumera módulos cargados, localiza la primera secuencia de 16 bytes de la definición de firma de cada motor y la reemplaza con bytes aleatorios hasta que pasa el escaneo.
Debido a que el cambio vive solo en la memoria volátil, el reinicio del host restaura el código original y borra el rastro de manipulación. Un extracto desmontado del cargador ilustra el proceso:-
byte () sig = nuevo byte (16); Intptr target = getProcAddress (getModuleHandle (“amsi.dll”), “amsiscanbuffer”); Marshal.copy (objetivo, sig, 0, 16); // Guardar original para (int i = 0; i <16; i ++) {sig (i) = (byte) rand.next (1,255);} // Scramble uint viejo; VirtualProtect (Target, 16, 0x40, fuera antiguo); Marshal.copy (sig, 0, objetivo, 16); // Patch Amsi VirtualProtect (Target, 16, antiguo, fuera antiguo);
Debido a que el punto de entrada de AMSI se altera antes de que cualquier script se ejecute, las transcripciones de PowerShell se ven normales, mientras que los comandos maliciosos se ejecutan sin obstáculos.
Las modificaciones solo de memoria como esta evitan escáneres basados en archivos y dejan residuos forenses mínimos, explicando por qué varias aerolíneas comprometidas informaron barridos antivirus “limpios” incluso cuando los datos se filtraron.
Ahora se insta a los equipos de seguridad a complementar los motores de firma con monitoreo de integridad a nivel de núcleo capaz de detectar eventos de parches no autorizados antes de los taxis de Trailblazer fuera de la pista.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
