El equipo de seguridad de Microsoft (DTAC) anunció el viernes 3 de febrero que había hecho el vínculo entre el hackeo sufrido por charliehebdo y un grupo de hackers estatales iraníes, apodados “Emennet Pasargad” por el FBI – “Neptunium” por la multinacional estadounidense de TI.
El 4 de enero se pusieron a la venta en al menos dos foros especializados datos sustraídos de los servidores del diario satírico, incluyendo direcciones de correo electrónico y postales de suscriptores. También se han publicado en Internet muestras de la base de datos. El ataque también estuvo acompañado de una campaña limitada de propaganda en línea, liderada por cuentas falsas en Twitter y Facebook que atacaban al semanario, según reveló El mundo. A la fecha, varias cuentas de Twitter identificadas en este operativo siguen en línea, según los hallazgos de la Mundopero algunos de ellos han cambiado de identidad, incluso tuiteando en hebreo y haciéndose pasar por usuarios de Internet israelíes.
Este modo de operación corresponde muy precisamente al de Emennet Pasargad, escribe Microsoft, que no especifica si su análisis también se basa en indicadores técnicos no públicos. “El ataque coincidió con las críticas del gobierno iraní al proyecto de caricaturas de charliehebdo », escribe la empresa. De hecho, a principios de enero, el semanario había planeado publicar los resultados de un concurso internacional de caricaturas del Líder Supremo iraní. El día del hackeo, el canciller iraní había denunciado “los actos insultantes del periódico francés”.
Robo y diseminación de datos
Emennet Pasargad había sido objeto de un aviso del FBI en enero de 2022. La agencia federal de EE. UU. señaló que el grupo había atacado históricamente objetivos israelíes, pero que desde entonces había ampliado su presa potencial y podría representar una amenaza para las empresas y administraciones estadounidenses.
En un informe posterior, las autoridades estadounidenses habían descrito varios elementos representativos de la modus operandi de Emennet Pasargad, muy similar al ataque sufrido por charliehebdo. «El grupo a menudo amplifica y promueve el robo y la filtración de los datos de sus víctimas mediante la creación de su propio sitio de difusión, pero también mediante el uso de mensajes de Telegram y foros de discusión».explicaron, en su momento, las autoridades estadounidenses.
Por ejemplo, el FBI estima que esta entidad se ha hecho pasar, durante dos años, como un grupo de hacktivistas propalestinos, Hackers of Savior, para atacar varios objetivos israelíes, robar y luego filtrar datos y modificar la página de inicio de varios sitios. EN charliehebdoel hackeo fue reclamado por un hacker llamado «Holy Souls», quien también «desfiguró» (es decir, cambió la página de inicio) sitios web franceses para presumir de sus acciones y difundió datos robados al semanario en varios foros de discusión.