被称为龟壳的伊朗威胁演员已被归因于新一波的水坑攻击，旨在部署一个名为IMAPLoader的恶意软件。

“IMAPLoader是一个.NET恶意软件，具有指纹受害者系统使用本地Windows实用程序的能力，并作为进一步的有效载荷的下载器，”普华永道威胁情报团队在周三的分析说。

“它使用电子邮件作为[命令和控制]通道，能够执行从电子邮件附件中提取的有效负载，并通过新的服务部署执行。”

至少自2018年起，甲骨文就有了利用战略性网站妥协作为策略来促进恶意软件传播的历史。今年5月早些时候，ClearSky将该组织与八家以色列航运、物流和金融服务公司相关网站的入侵联系起来。

该威胁行为者与伊斯兰革命卫队（IRGC）保持一致，也被更广泛的网络安全社区以深红沙尘暴（以前称为锔）、帝国小猫、TA456和Yellow Liderc的名称进行跟踪。

2022年至2023年之间的最新一组攻击需要在被入侵的合法网站中嵌入恶意JavaScript，以收集有关访问者的更多详细信息，包括他们的位置、设备信息和访问时间。

这些入侵主要集中在地中海的海事、航运和物流部门，在某些情况下，如果受害者被视为高价值目标，则会部署IMAPLoader作为后续有效载荷。

IMAPLoader据说是一种替代基于Python的IMAP植入乌龟，之前在2021年末和2022年初使用，因为功能上的相似之处。

该恶意软件通过查询硬编码的IMAP电子邮件帐户作为下一阶段有效载荷的下载器，特别是检查拼错为“Recive”的邮箱文件夹，以从邮件附件中检索可执行文件。

在备用攻击链中，微软Excel诱饵文档被用作初始向量，启动一个多阶段流程来交付和执行IMAPLoader，这表明威胁行为者正在使用各种战术和技术来实现其战略目标。

普华永道表示，它还发现了由乌龟壳创建的钓鱼网站，其中一些针对欧洲的旅游和酒店行业，它们使用虚假的微软登录页面进行凭据收集。

普华永道表示：“这一威胁因素仍然对许多行业和国家构成积极和持续的威胁，包括地中海地区的海事、航运和物流部门；美国和欧洲的核工业、航空航天和国防工业；以及中东的IT管理服务提供商。”