Volexity a publié un avis sur l'évolution du logiciel malveillant à porte dérobée POWERSTAR et sur les techniques avancées de spear-phishing employées par Charming Kitten, un acteur de la menace. La dernière itération de POWERSTAR présente des mesures de sécurité opérationnelle renforcées, ce qui accroît la difficulté d'analyser et de recueillir des informations sur ce logiciel malveillant.

Cette dernière version exploite notamment le système de fichiers interplanétaire (IPFS) pour ses opérations et héberge sa fonction de décryptage et les détails de sa configuration sur des plateformes d'hébergement Cloud accessibles au public.

La variante PowerStar introduit de nouvelles capacités, notamment la possibilité d'exécuter à distance des commandes PowerShell et CSharp, d'établir la persistance par diverses méthodes, de mettre à jour dynamiquement les configurations, d'utiliser de multiples canaux C2 et de procéder à la reconnaissance du système et à la surveillance des mécanismes de persistance existants.

Charming Kitten a abandonné sa préférence pour les fournisseurs d'hébergement dans le Cloud tels que OneDrive, AWS S3 et Dropbox. Au lieu de cela, le groupe a commencé à utiliser des infrastructures privées telles que Backblaze et IPFS pour distribuer des logiciels malveillants. Ce changement pourrait être attribué à la conviction du groupe que l'utilisation d'une infrastructure privée réduit le risque d'exposition de ses outils.

Charming Kitten peut également considérer que ces fournisseurs alternatifs sont moins enclins à prendre des mesures à l'encontre de leurs comptes et de leur infrastructure.

Pour se protéger contre cette menace, il est recommandé d'utiliser les règles YARA fournies et de bloquer les CIO répertoriés par Volexity.