Se cree que un grupo de actividades de amenazas nunca antes visto con nombre en código UNK_SmudgedSerpent está detrás de una serie de ciberataques dirigidos a académicos y profesionales de la política exterior entre junio y agosto de 2025, coincidiendo con el aumento de las tensiones geopolíticas entre Irán e Israel.
«UNK_SmudgedSerpent aprovechó las tentaciones políticas internas, incluidas las investigaciones sobre el cambio social en Irán y la militarización del Cuerpo de la Guardia Revolucionaria Islámica (IRGC)», dijo el investigador de seguridad de Proofpoint, Sahel Nauman, en un nuevo informe compartido con Hacker News.
La firma de seguridad empresarial dijo que la campaña es tácticamente similar a ataques anteriores lanzados por grupos de ciberespionaje iraníes como TA455 (también conocido como Smoke Sandstorm o UNC1549), TA453 (también conocido como Charming Kitten o Mint Sandstorm) y TA450 (también conocido como Mango Sandstorm o Muddy Water).
Este mensaje de correo electrónico tiene todas las características de un ataque clásico de Charming Kitten, donde el atacante engaña a objetivos potenciales con una conversación benigna antes de intentar suplantar sus credenciales.
En algunos casos, se ha descubierto que los correos electrónicos contienen URL maliciosas que engañan a las víctimas para que descarguen instaladores MSI. Los instaladores de MSI terminan implementando software legítimo de administración y monitoreo remoto (RMM), como PDQ Connect, haciéndose pasar por Microsoft Teams. Esta es una táctica que MuddyWater emplea a menudo.
Proofpoint dijo que los archivos digitales se hacían pasar por destacados funcionarios de política exterior estadounidense asociados con grupos de expertos como la Brookings Institution y el Washington Institute, dando la apariencia de legitimidad y aumentando las posibilidades de éxito del ataque.
La iniciativa está dirigida a más de 20 expertos de un grupo de expertos con sede en Estados Unidos centrado en cuestiones políticas relacionadas con Irán. En al menos un caso, al recibir una respuesta, el atacante supuestamente insistió en verificar la identidad del objetivo y la autenticidad de la dirección de correo electrónico antes de seguir cooperando.
«Nos comunicamos con usted para confirmar que su correo electrónico reciente expresando su interés en nuestro proyecto de investigación proviene de usted», decía el correo electrónico. «El mensaje se recibió de una dirección que creemos que no es su correo electrónico principal, por lo que queríamos verificar su autenticidad antes de continuar».
Luego, el atacante envió un enlace a un documento específico que, según afirmó, se discutiría en una próxima reunión. Sin embargo, una vez que se hace clic en el enlace, las víctimas son dirigidas a una página de destino falsa diseñada para recopilar las credenciales de la cuenta de Microsoft.
En otra variante de la cadena de infección, la URL imita la página de inicio de sesión de Microsoft Teams y el botón (Unirse ahora). Sin embargo, en esta etapa se desconocen las etapas posteriores que se activan después de hacer clic en el botón de conferencia esperada.
Proofpoint señaló que después de que los objetivos «comunicaron sus sospechas», los atacantes eliminaron el requisito de contraseña en la página de captura de credenciales y en su lugar los dirigieron a una página de inicio de sesión falsa de OnlyOffice alojada en «thebesthomehealth(.)com».
«Las referencias de UNK_SmudgedSerpent a las URL de OnlyOffice y a los dominios con temas de salud recuerdan la actividad de TA455», dijo Naumaan. «TA455 ha comenzado a registrar dominios relacionados con la salud desde al menos octubre de 2024, luego de un flujo constante de dominios relacionados con el aeroespacial, y en junio de 2025, OnlyOffice se volvió común para alojar archivos».
Alojado en el sitio falso de OnlyOffice hay un archivo ZIP que contiene un instalador MSI que inicia PDQ Connect. Otros documentos han sido evaluados como señuelos, según la empresa.
Hay evidencia que sugiere que UNK_SmudgedSerpent ha participado en actividades que pueden involucrar manipulación del teclado para instalar herramientas RMM adicionales como ISL Online a través de PDQ Connect. No está claro por qué se implementan secuencialmente dos programas RMM diferentes.
Otros correos electrónicos de phishing enviados por este actor de amenazas estaban dirigidos a académicos que residen en los Estados Unidos que buscaban ayuda con una investigación de la Guardia Revolucionaria, y otro individuo fue atacado a principios de agosto de 2025, buscando cooperación potencial en la investigación del «papel creciente de Irán en América Latina y sus implicaciones para la política estadounidense».
«Esta campaña es consistente con la recopilación de inteligencia iraní y se centra en el análisis de políticas occidentales, la investigación académica y la tecnología estratégica», dijo Proofpoint. «Esta operación señala una evolución en la cooperación entre los servicios de inteligencia de Irán y las fuerzas cibernéticas y señala un cambio en el ecosistema de espionaje de Irán».
Source link
