Una nueva investigación realizada por el equipo Symantec de Broadcom y Carbon Black Threat Hunters ha descubierto evidencia de que un grupo de piratas informáticos iraníes se infiltra en las redes de múltiples empresas estadounidenses, incluidos bancos, aeropuertos, organizaciones sin fines de lucro y la rama israelí de una empresa de software.
Se cree que esta actividad es obra de un grupo de piratería patrocinado por el estado llamado MuddyWater (también conocido como Seedworm). Está afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Se estima que la operación comenzó a principios de febrero, y se detectó actividad reciente tras los ataques militares contra Irán por parte de Estados Unidos e Israel.
«La empresa de software es proveedor de las industrias aeroespacial y de defensa, y también tiene su sede en Israel, y sus operaciones israelíes parecen ser el objetivo de esta actividad», dijo el proveedor de seguridad en un informe compartido con Hacker News.
El ataque, dirigido a una empresa de software, un banco estadounidense y una organización sin fines de lucro canadiense, allanó el camino para una puerta trasera previamente desconocida llamada Dindoor, que aprovecha el tiempo de ejecución de JavaScript de Deno para su ejecución. Broadcom dijo que también identificó intentos de utilizar la utilidad Rclone para filtrar datos de empresas de software a depósitos de almacenamiento en la nube de Wasabi. Sin embargo, actualmente no está claro si los esfuerzos han dado sus frutos.
También se descubrió otra puerta trasera de Python llamada Fakeset en una red de aeropuertos y organizaciones sin fines de lucro de EE. UU. Se descargó de un servidor perteneciente a Backblaze, una empresa estadounidense de almacenamiento en la nube y copia de seguridad de datos. El certificado digital utilizado para firmar Fakeset también se utilizó para firmar el malware Stagecomp y Darkcomp, ambos previamente vinculados a MuddyWater.
«Aunque este malware no fue visto en la red objetivo, se utilizaron los mismos certificados, lo que sugiere que el mismo atacante, Seedworm, estaba detrás de la actividad en la red de la compañía estadounidense», dijeron Symantec y Carbonblack.
«Los actores de amenazas iraníes se han vuelto cada vez más competentes en los últimos años. No sólo han mejorado sus herramientas y su malware, sino que también han demostrado sólidas capacidades de ingeniería social, incluidas campañas de phishing y operaciones de ‘trampa de miel’ utilizadas para establecer relaciones con objetivos de interés para acceder a cuentas e información confidencial».
Los resultados se anunciaron en el contexto de la escalada del conflicto militar en Irán, que ha provocado una avalancha de ciberataques en el ámbito digital. Una investigación reciente de Check Point reveló que un grupo hacktivista propalestino conocido como Handala Hack (también conocido como Void Manticore) dirige su actividad a través de rangos de IP de Starlink y investiga aplicaciones conectadas externamente en busca de configuraciones erróneas y credenciales débiles.
En los últimos meses, también hemos observado a múltiples adversarios vinculados a Irán, incluido Agrius (también conocido como Agonizing Serpens, Marshtreader y Pink Sandstorm), escaneando cámaras vulnerables de Hikvision y soluciones de videoportero utilizando fallas de seguridad conocidas como CVE-2017-7921 y CVE-2023-6895.
Según Check Point, estos ataques se han intensificado a raíz del actual conflicto en Oriente Medio. Los intentos de explotación contra cámaras IP han proliferado en el Líbano y Chipre, así como en Israel y los Estados del Golfo, incluidos los Emiratos Árabes Unidos, Qatar, Bahréin y Kuwait. Esta actividad identificó las cámaras Dahua y Hikvision y convirtió en armas las dos vulnerabilidades antes mencionadas: CVE-2021-36260, CVE-2025-34067 y CVE-2021-33044.
«En conjunto, estos hallazgos son consistentes con la evaluación de que Irán utiliza el compromiso de la cámara como parte de su doctrina, y en algunos casos antes de los lanzamientos de misiles, para apoyo operativo y evaluación continua de daños de batalla (BDA) para operaciones de misiles», dijo la compañía.
«Como resultado, el seguimiento de la actividad dirigida por cámaras desde la infraestructura con atributos específicos podría servir como un indicador temprano de una posible actividad motora posterior».
La guerra entre Estados Unidos e Israel contra Irán también ha llevado al Centro Canadiense para la Seguridad Cibernética (CCCS) a emitir una advertencia de que es probable que Irán utilice dispositivos cibernéticos para lanzar ataques de represalia contra infraestructuras críticas y operaciones de información para promover los intereses del régimen.
A continuación se muestra una lista de otros acontecimientos importantes que han salido a la luz en los últimos días.
El Financial Times de la semana pasada informó que la inteligencia israelí había estado pirateando la extensa red de cámaras de tráfico de Teherán durante años para monitorear los movimientos de los guardaespaldas de Jamenei y otros altos funcionarios iraníes antes del asesinato del líder supremo. La agencia de noticias estatal Fars informó en Telegram que el Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI) atacó el centro de datos de Amazon en Bahréin, acusando a Amazon de apoyar «actividades militares y de inteligencia enemigas». Se dice que se está llevando a cabo una activa campaña de limpieza contra los sectores energético, financiero, gubernamental y de servicios públicos de Israel. «El arsenal de limpiaparabrisas de Irán incluye más de 15 familias (ZeroCleare, Meteor, Dustman, DEADWOOD, Apostle, BFG Agonizer, MultiLayer, PartialWasher, etc.)», dijo Anomali. Los grupos APT respaldados por el estado iraní, como MuddyWater, Charming Kitten, OilRig, Elfin y Fox Kitten «han mostrado signos claros de activación y rápido cambio de régimen, preparados para operaciones de represalia en medio de la escalada del conflicto», dijo Level Blue, añadiendo que «lo cibernético es una de las herramientas asimétricas más accesibles de Irán para tomar represalias contra los estados del Golfo que culparon a los ataques iraníes y apoyaron las operaciones estadounidenses». Según Flashpoint, una campaña cibernética #OpIsrael a gran escala que involucra a facciones prorrusas y proiraníes tiene como objetivo los sistemas de control industrial (ICS) y portales gubernamentales israelíes en Kuwait, Jordania y Bahréin. Esta campaña es promovida por NoName057(16), Handala Hack, Fatemiyoun Electronic Team y Cyber Islamic Resistance (también conocido como 313 Team). Del 28 de febrero de 2026 al 2 de marzo de 2026, el grupo hacktivista prorruso Z-Pentest se atribuyó la responsabilidad de comprometer a varias organizaciones con sede en Estados Unidos, incluidos los sistemas ICS y SCADA, y múltiples redes de CCTV. «El momento de estas afirmaciones no confirmadas coincide con la Operación Epic Fury, lo que sugiere que Z-Pentest puede haber comenzado a priorizar a las organizaciones estadounidenses como objetivos», dijo a Hacker News Adam Myers, jefe de operaciones de lucha contra la confrontación en CrowdStrike.
UltraViolet Cyber declaró que «las capacidades cibernéticas ofensivas de Irán han madurado hasta convertirse en un instrumento duradero de poder estatal utilizado para apoyar la recopilación de inteligencia, la influencia regional y la señalización estratégica en tiempos de tensión geopolítica». «La actual doctrina cibernética de Irán se caracteriza por un énfasis en la identidad y el plano de control de la nube como principal superficie de ataque».
«En lugar de priorizar exploits de día cero a gran escala o malware altamente novedoso, los operadores iraníes tienden a centrarse en técnicas de acceso repetible como el robo de credenciales, la pulverización de contraseñas y la ingeniería social, seguidas de la persistencia a través de servicios empresariales ampliamente implementados».
Se alienta a las organizaciones a fortalecer su postura de ciberseguridad, fortalecer las capacidades de monitoreo, limitar la exposición a Internet, deshabilitar el acceso remoto a los sistemas de tecnología operativa (OT), aplicar la autenticación multifactor (MFA) resistente al phishing, implementar la segmentación de la red, crear copias de seguridad fuera de línea y mantener actualizadas todas las aplicaciones conectadas a Internet, puertas de enlace VPN y dispositivos perimetrales.
«A medida que el conflicto continúa y la actividad puede pasar del hacktivismo a la subversión, las organizaciones occidentales deben permanecer en alerta máxima ante posibles respuestas cibernéticas», dijo Meyers.
Source link
