Se cree que un actor sospechoso de estar vinculado a Irán estuvo involucrado en una campaña dirigida a funcionarios del gobierno iraquí haciéndose pasar por el Ministerio de Asuntos Exteriores iraquí y entregando una serie de malware nunca antes visto.
Zscaler ThreatLabz, que observó esta actividad en enero de 2026, está rastreando este grupo con el nombre de Dust Spectre. Este ataque se manifiesta en dos cadenas de infección distintas, que culminan con la implementación de malware llamado SPLITDROP, TWINTASK, TWINTALK y GHOSTFORM.
«Dust Spectre utilizó rutas URI generadas aleatoriamente para comunicaciones de comando y control (C2), y se agregó un valor de suma de verificación a la ruta URI para garantizar que estas solicitudes se originaran en sistemas infectados reales», dijo el investigador de seguridad Sudeep Singh. «El servidor C2 también utilizó tecnología de geofencing y verificación de agente de usuario».
Un aspecto notable de esta campaña es el compromiso de la infraestructura relacionada con el gobierno iraquí para organizar cargas maliciosas, sin mencionar el uso de técnicas para retrasar la ejecución, pasar desapercibidas y evadir.
La primera secuencia de ataque comienza con un archivo RAR protegido con contraseña. Dentro de este archivo hay un dropper .NET llamado SPLITDROP que actúa como conducto entre el módulo de trabajo TWINTASK y el orquestador C2 TWINTALK.
TWINTASK es una DLL maliciosa (‘libvlc.dll’) que se descarga mediante el binario legítimo ‘vlc.exe’ y periódicamente sondea un archivo (‘C:\ProgramData\PolGuid\in.txt’) cada 15 segundos en busca de nuevos comandos y los ejecuta usando PowerShell. Esto también incluye comandos para establecer persistencia en el host mediante cambios en el registro de Windows. La salida del script y los errores se capturan en un archivo de texto separado (‘C:\ProgramData\PolGuid\out.txt’).
Tras el primer lanzamiento, TWINTASK está diseñado para ejecutar otro binario legítimo presente en el archivo extraído (‘WingetUI.exe’) y descargar la DLL de TWINTALK (‘hostfxr.dll’). Su objetivo principal es acceder al servidor C2 para obtener nuevos comandos, coordinar tareas con TWINTASK y extraer los resultados al servidor. Admite la capacidad de escribir el cuerpo del comando desde la respuesta C2 a «in.txt», así como descargas y cargas de archivos.
«El orquestador C2 se ejecuta en paralelo con los módulos de trabajo mencionados anteriormente e implementa el mecanismo de sondeo basado en archivos utilizado para ejecutar el código», dijo Singh. «Cuando se ejecuta, TWINTALK ingresa a un bucle de baliza y retrasa la ejecución durante un intervalo aleatorio antes de sondear el servidor C2 en busca de nuevos comandos».
La segunda cadena de ataque representa una evolución de la primera cadena de ataque y combina todas las funcionalidades de TWINTASK y TWINTALK en un único binario llamado GHOSTFORM. Aprovecha la ejecución de scripts de PowerShell en memoria para ejecutar comandos recuperados del servidor C2, eliminando la necesidad de escribir artefactos en el disco.
Este no es el único factor que distingue las dos cadenas de ataque. Se ha descubierto que algunos archivos binarios de GHOSTFORM contienen una URL de Google Forms codificada que se inicia automáticamente en el navegador web predeterminado del sistema una vez que el malware comienza a ejecutarse. El formulario presenta contenido escrito en árabe y pretende ser una investigación oficial del Ministerio de Asuntos Exteriores iraquí.
El análisis de Zscaler del código fuente de TWINTALK y GHOSTFORM también reveló la presencia de valores de marcador de posición, emojis y texto Unicode, lo que sugiere que se pueden haber utilizado herramientas de inteligencia artificial (IA) generativa para ayudar en el desarrollo del malware.
Además, el dominio C2 “meetingapp(.)sitio” asociado con TWINTALK fue supuestamente utilizado por atacantes de Dust Spectre en una campaña de julio de 2025 para albergar una página de invitación a una reunión de Cisco Webex falsa que indicaba a los usuarios copiar, pegar y ejecutar un script de PowerShell para unirse a una reunión. Esta instrucción refleja una táctica que se ve comúnmente en los ataques de ingeniería social estilo ClickFix.
El script de PowerShell crea un directorio en el host e intenta recuperar una carga útil no especificada del mismo dominio y guardarla como un archivo ejecutable dentro del directorio recién creado. También crea una tarea programada que ejecuta el binario malicioso cada dos horas.
La conexión de Dust Spectre con Irán se basa en el hecho de que los grupos de hackers iraníes han estado desarrollando puertas traseras .NET ligeras y personalizadas para lograr sus objetivos. El uso de infraestructura gubernamental iraquí comprometida se ha observado en campañas anteriores asociadas con actores de amenazas como OilRig (también conocido como APT34).
«Esta campaña se atribuye a Dust Specter con un nivel de confianza medio a alto y probablemente se dirigió a funcionarios gubernamentales que utilizaban señuelos convincentes de ingeniería social que se hacían pasar por el Ministerio de Asuntos Exteriores iraquí», dijo Zuscaler. «Esta actividad también refleja tendencias más amplias, como el uso cada vez mayor de técnicas de estilo ClickFix y la IA generativa en el desarrollo de malware».
Source link
