Se ha observado que un actor de amenazas patrocinado por el Estado iraní conocido como APT42 ataca a personas y organizaciones de interés para el Cuerpo de la Guardia Revolucionaria Islámica (IRGC, por sus siglas en inglés) como parte de una nueva campaña centrada en el espionaje.
Esta actividad se detectó a principios de septiembre de 2025, se considera que está en curso y la Agencia Digital Nacional de Israel (INDA) la denominó en código «SpearSpecter».
«Esta campaña se dirige sistemáticamente a funcionarios gubernamentales y de defensa de alto valor utilizando tácticas personalizadas de ingeniería social», dijeron los investigadores del INDA Simi Cohen, Adi Pick, Idan Beityousev, Hilla David y Yaniv Goldman. «Esto incluye invitar al objetivo a reuniones prestigiosas o organizar reuniones importantes».
Lo notable de este esfuerzo es que se extiende a los miembros de la familia del objetivo, creando una superficie de ataque más amplia y ejerciendo aún más presión sobre el objetivo principal.
APT42 fue documentado públicamente por primera vez por Google Mandiant a finales de 2022 y es otro IRGC rastreado como APT35, CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, Educated Manticore, GreenCharlie, ITG18, Magic Hound, Mint Sandstorm (anteriormente Phosphorus), TA453, Yellow Garuda. Se detalla la superposición con grupos de amenazas.
Una de las características distintivas del grupo es su capacidad para lanzar campañas persuasivas de ingeniería social que pueden ejecutarse durante días o semanas para generar confianza en los objetivos antes de enviar cargas útiles maliciosas o lograr que hagan clic en enlaces con trampas explosivas. En algunos casos, se hacen pasar por contactos conocidos para crear la ilusión de autenticidad.
En junio de 2025, Check Point detalló una ola de ataques en los que los atacantes se acercaron a expertos israelíes en tecnología y ciberseguridad en correos electrónicos y mensajes de WhatsApp haciéndose pasar por ejecutivos e investigadores de tecnología.
Goldman le dijo a Hacker News que las campañas SpearSpectre y de junio de 2025 están separadas y fueron llevadas a cabo por dos subgrupos diferentes dentro de APT42.
«Si bien nuestra campaña fue ejecutada por el Grupo D de APT42 (centrado en operaciones basadas en malware), la campaña detallada por Check Point fue ejecutada por el Grupo B del mismo grupo (centrado en la recolección de credenciales)», agregó Goldman.
INDA dijo que SpearSpecter es flexible en el sentido de que un adversario puede ajustar su enfoque en función del valor objetivo y los objetivos operativos. En una serie de ataques, las víctimas son redirigidas a una página de conferencia falsa diseñada para capturar sus credenciales. Por otro lado, si el objetivo final es un acceso persistente a largo plazo, el ataque conduce al despliegue de una conocida puerta trasera de PowerShell llamada TAMECAT, que se ha utilizado repetidamente en los últimos años.
Para ello, la cadena de ataque implica enviar un enlace malicioso a un documento necesario para una próxima reunión o conferencia, haciéndose pasar por un contacto de confianza de WhatsApp. Al hacer clic en el enlace se inicia una cadena de redireccionamiento que aprovecha el controlador de protocolo «search-ms:» para ofrecer un acceso directo de Windows (LNK) alojado en WebDAV disfrazado de archivo PDF.
El archivo LNK establece una conexión con el subdominio Cloudflare Workers para obtener un script por lotes que actúa como cargador para TAMECAT. Para ello, TAMECAT utiliza diversos componentes modulares para facilitar la extracción de datos y el control remoto.
El marco de PowerShell utiliza tres canales diferentes para comando y control (C2): HTTPS, Discord y Telegram. Esto sugiere que el objetivo del actor de amenazas es mantener el acceso persistente a un host comprometido incluso si se detecta y bloquea una ruta.
Para C2 basado en Telegram, TAMECAT escucha los comandos entrantes de un bot de Telegram controlado por un atacante y, en base a eso, recupera y ejecuta código PowerShell adicional de varios subdominios de Cloudflare Workers. Para Discord, las URL de webhook se utilizan para enviar información básica del sistema y recuperar comandos de canales codificados.
«El análisis de las cuentas recuperadas de los servidores Discord del atacante sugiere que la lógica de búsqueda de comandos se basa en mensajes de usuarios específicos, lo que permite al atacante coordinar múltiples ataques usando el mismo canal mientras entrega comandos específicos a hosts infectados individuales, construyendo efectivamente un espacio de colaboración en una sola infraestructura», dijeron los investigadores de INDA.
Además, TAMECAT está equipado con la capacidad de realizar reconocimientos, recopilar archivos que coincidan con extensiones específicas, robar datos de navegadores web como Google Chrome y Microsoft Edge, recopilar buzones de correo de Outlook y tomar capturas de pantalla en intervalos de 15 segundos. Los datos se extraen a través de HTTPS o FTP.
También emplea varias técnicas sigilosas para evitar la detección y frustrar los esfuerzos analíticos. Estos incluyen cifrar cargas útiles de telemetría y controladores, ofuscar el código fuente, usar binarios residentes (LOLBins) para ocultar actividad maliciosa y operar principalmente en la memoria, dejando poco rastro en el disco.
«La infraestructura de la campaña SpearSpecter refleja una combinación sofisticada de agilidad, sigilo y seguridad operativa diseñada para sostener el espionaje a largo plazo contra objetivos de alto valor», dijo INDA. «Los operadores aprovechan una infraestructura multifacética que combina servicios legítimos en la nube y recursos controlados por atacantes para permitir un acceso inicial fluido, comando y control persistentes (C2) y exfiltración de datos secretos».
Source link
