El martes, el activista iraní residente en el Reino Unido Nariman Gharib tuiteó una captura de pantalla editada de un enlace de phishing que le enviaron a través de un mensaje de WhatsApp.
«No hagas clic en enlaces sospechosos», advirtió Ghalib. El activista, que sigue desde lejos los aspectos digitales de las protestas en Irán, dijo que la campaña se dirige a personas como él que están involucradas en actividades relacionadas con Irán.
La operación de piratería se produce mientras Irán lidia con el cierre de Internet a nivel nacional más largo de su historia, en medio de crecientes protestas antigubernamentales y violentas medidas represivas en todo el país. Dado que Irán y sus adversarios más cercanos son muy activos en el ciberespacio ofensivo (es decir, pirateando personas), queríamos saber más.
Gharib compartió el enlace de phishing completo con TechCrunch poco después de su publicación, lo que nos permitió capturar una copia del código fuente de la página web de phishing utilizada en el ataque. También compartió un artículo que resume sus hallazgos.
TechCrunch analizó el código fuente de la página de phishing y agregó información de investigadores de seguridad para creer que la campaña tenía como objetivo robar Gmail y otras credenciales en línea, comprometer cuentas de WhatsApp y realizar vigilancia mediante el robo de datos de ubicación, fotografías y grabaciones de voz.
Sin embargo, no está claro si los piratas informáticos son agentes gubernamentales, espías, ciberdelincuentes o las tres cosas.
TechCrunch también identificó una forma de ver una copia en tiempo real de todas las respuestas de las víctimas almacenadas en los servidores del atacante. Esta copia permanece pública y se puede acceder a ella sin contraseña. Estos datos revelaron docenas de víctimas que, sin saberlo, ingresaron sus credenciales en sitios de phishing y probablemente fueron pirateadas posteriormente.
La lista también incluye académicos de Medio Oriente que trabajan en estudios de seguridad nacional. Director ejecutivo de un fabricante israelí de drones. Un alto ministro libanés. Al menos un periodista. Personas que residen en Estados Unidos o tienen un número de teléfono de Estados Unidos.
TechCrunch publica sus hallazgos después de verificar muchos de los informes de Gharib. El sitio de phishing está cerrado actualmente.
Dentro de la cadena de ataque
Según Ghalib, el mensaje de WhatsApp que recibió contenía un enlace sospechoso que cargaba un sitio de phishing en el navegador de la víctima.
El enlace indica que los atacantes confían en un proveedor de DNS dinámico llamado DuckDNS en sus campañas de phishing. Un proveedor de DNS dinámico le permite conectar una dirección web fácil de recordar (en este caso, el subdominio duckdns.org) a servidores cuyas direcciones IP pueden cambiar con frecuencia.
No está claro si los atacantes eliminaron el sitio de phishing ellos mismos o si fueron capturados y bloqueados por DuckDNS. Nos comunicamos con DuckDNS, pero su propietario, Richard Harper, solicitó que enviáramos un informe de abuso en su nombre.
Por lo que sabemos, los atacantes utilizaron DuckDNS para enmascarar la ubicación real de la página de phishing, posiblemente haciendo que pareciera un enlace genuino de WhatsApp.
Esta página de phishing en realidad estaba alojada en el dominio alex-fabow.online, que se registró por primera vez a principios de noviembre de 2025. Este dominio tiene varios otros dominios relacionados alojados en el mismo servidor dedicado, y estos nombres de dominio siguen un patrón que sugiere que esta campaña también estaba dirigida a otros proveedores de salas de reuniones virtuales, como meet-safe.online y whats-login.online.
No sabemos qué sucede cuando se carga un enlace DuckDNS en el navegador de una víctima, o cómo el enlace determina qué página de phishing específica cargar. Los enlaces de DuckDNS pueden redirigir objetivos a páginas de phishing específicas en función de la información recopilada del dispositivo del usuario.
Las páginas de phishing no se cargan en su navegador web, por lo que no puede interactuar con ellas directamente. Sin embargo, al leer el código fuente de la página, pudimos comprender mejor cómo funcionó el ataque.
Credenciales de Gmail y phishing de números de teléfono
Dependiendo del objetivo, al tocar un enlace de phishing se abre una página de inicio de sesión de Gmail falsa o se solicita un número de teléfono, iniciando un flujo de ataque destinado a robar contraseñas y códigos de autenticación de dos factores.
Sin embargo, había al menos una falla en el código fuente de la página de phishing. TechCrunch descubrió que al cambiar la URL de la página de phishing en un navegador web, es posible ver un archivo en el servidor del atacante que almacena un registro de todas las víctimas que ingresaron sus credenciales.
Este archivo contenía más de 850 registros de información enviada por las víctimas durante el flujo del ataque. Estos registros detallaban cada parte del flujo de phishing en el que participó la víctima. Esto incluía una copia del nombre de usuario y contraseña que la víctima había ingresado en la página de phishing, así como la entrada falsa y su código de dos factores, que efectivamente actuaba como un registrador de teclas.
Los registros también incluían una cadena de texto que identificaba el agente de usuario de cada víctima, el sistema operativo y la versión del navegador utilizado para ver el sitio web. Estos datos muestran que la campaña fue diseñada para usuarios de Windows, macOS, iPhone y Android.
Los archivos expuestos nos permiten seguir el flujo del ataque paso a paso, víctima por víctima. En un caso, los archivos publicados muestran que la víctima hizo clic en un enlace malicioso que abrió una página que parecía una ventana de inicio de sesión de Gmail. Los registros muestran a las víctimas ingresando sus credenciales de correo electrónico varias veces antes de ingresar la contraseña correcta.
La grabación muestra a la misma víctima ingresando un código de autenticación de dos factores enviado por mensaje de texto. Esto se debe a que Google envía códigos de dos factores en un formato específico, normalmente G-xxxxxx, que incluye un código numérico de seis dígitos.
Secuestro de WhatsApp y fuga de datos del navegador
Más allá del robo de credenciales, la campaña parece permitir la vigilancia engañando a las víctimas para que compartan la ubicación, el audio y las fotos de sus dispositivos.
En el caso de Ghalib, al tocar el enlace del mensaje de phishing se abrió una página falsa con el tema de WhatsApp en su navegador y se mostró un código QR. Este señuelo está diseñado para engañar a los objetivos para que escaneen un código en su dispositivo y accedan a una sala de reuniones virtual.
Ghalib dijo que el atacante genera el código QR y, cuando lo escanea o lo toca, la cuenta de WhatsApp de la víctima se vincula instantáneamente al dispositivo controlado por el atacante, lo que le otorga acceso a los datos de la víctima. Esta es una técnica de ataque conocida desde hace mucho tiempo que explota la función de vinculación de dispositivos de WhatsApp y se ha explotado de manera similar para atacar a los usuarios de la aplicación de mensajería Signal.
Le pedimos a Runa Sandvik, fundadora de Granitt e investigadora de seguridad que ayuda a proteger la seguridad de personas en riesgo, que examinara una copia del código de la página de phishing para ver cómo funciona.
Sandvik descubrió que cuando se carga la página, el código activa una notificación del navegador solicitando permiso al usuario para acceder a su ubicación (a través de navigator.geolocation) y foto y audio (navigator.getUserMedia).
Si se acepta, el navegador envía instantáneamente las coordenadas de la persona al atacante, lo que le permite localizar a la víctima. Luego, la página continúa compartiendo los datos de ubicación de la víctima cada pocos segundos mientras la página esté abierta.
El código también permitió al atacante usar la cámara del dispositivo para grabar ráfagas de audio y tomar fotografías cada 3 a 5 segundos. Sin embargo, no vimos ningún dato de ubicación, audio o imágenes recopilados en el servidor.
Reflexiones sobre la victimización, el momento oportuno y la atribución
No sabemos quién está detrás de esta campaña. Lo que está claro es que esta campaña logró robar las credenciales de las víctimas y es posible que resurjan campañas de phishing.
Aunque se conocen las identidades de algunas de las personas de esta población de víctimas objetivo, no hay suficiente información para comprender la naturaleza de la campaña. El número de víctimas atacadas por esta campaña (hasta donde sabemos) es bastante pequeña, menos de 50. Y ha afectado no sólo a personas aparentemente comunes y corrientes de toda la comunidad kurda, sino también a académicos, funcionarios gubernamentales, líderes empresariales y otros dignatarios de la diáspora iraní en general y de Medio Oriente.
Puede haber muchas más víctimas de las que creemos, y eso podría ayudarnos a comprender quién fue el objetivo y, potencialmente, por qué.
Casos en los que puede tratarse de un atacante patrocinado por el gobierno
No está claro qué motivó a los piratas informáticos a robar las credenciales de las personas y secuestrar sus cuentas de WhatsApp, pero esto también podría ayudar a identificar a quienes están detrás de esta operación de piratería.
Por ejemplo, un grupo respaldado por el gobierno podría robar las contraseñas de correo electrónico y los códigos de dos factores de objetivos de alto valor, como políticos y periodistas, permitiéndoles descargar información personal y confidencial.
Esto puede no ser una sorpresa, ya que Irán está actualmente casi completamente aislado del mundo exterior, lo que hace que obtener información tanto a nivel nacional como internacional sea un desafío. Puede ser razonable que tanto el gobierno iraní como los gobiernos extranjeros interesados en los asuntos iraníes quieran saber con quién y cómo se comunican las personas influyentes asociadas con Irán.
Por lo tanto, dado el momento de esta campaña de phishing y a quién se dirige, puede ser una operación de espionaje destinada a recopilar información sobre un número limitado de personas.
También le pedimos a Gary Miller, investigador de seguridad y experto en espionaje móvil de Citizen Lab, que examinara el código de phishing y algunos de los datos filtrados de los servidores de los atacantes.
Miller dijo que el ataque fue «sin duda característico de una campaña de phishing asociada con el IRGC», refiriéndose a un ataque de correo electrónico muy dirigido llevado a cabo por el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), una facción del ejército iraní conocida por llevar a cabo ataques cibernéticos. Miller señaló una variedad de indicadores, incluido el alcance internacional de la selección de víctimas, el robo de credenciales, el abuso de plataformas de mensajería populares como WhatsApp y las técnicas de ingeniería social utilizadas en los enlaces de phishing.
Cuando existe la posibilidad de que la persona esté actuando por motivos económicos
Mientras tanto, un pirata informático con motivos financieros podría utilizar la misma contraseña de Gmail robada y un código de dos factores de otro objetivo de alto valor, como un ejecutivo de una empresa, para robar información comercial confidencial de su bandeja de entrada. Los piratas informáticos también pueden restablecer por la fuerza las contraseñas de las cuentas bancarias y criptográficas de las víctimas y vaciar sus billeteras.
Sin embargo, el enfoque de la campaña en acceder a la ubicación de las víctimas y a los medios del dispositivo es inusual para un atacante con motivación financiera, y es posible que rara vez se utilicen fotografías y grabaciones de audio.
Le pedimos a Ian Campbell, investigador de amenazas de DomainTools, que ayuda a analizar los registros públicos de Internet, que examinara los nombres de dominio utilizados en las campañas para comprender cuándo se establecieron por primera vez y si estos dominios estaban conectados a otra infraestructura previamente conocida o identificada.
Campbell descubrió que, si bien la campaña estaba dirigida a las víctimas durante las protestas en curso en todo Irán, la infraestructura ya estaba instalada semanas antes. Añadió que la mayoría de los dominios asociados con esta campaña se registraron a principios de noviembre de 2025, y uno de los dominios asociados se creó varios meses antes, en agosto de 2025. Campbell describió estos dominios como de riesgo medio a alto y dijo que parecían estar asociados con actividad cibercriminal con motivación financiera.
Aún más preocupante es que se sabe que el gobierno iraní subcontrata los ataques cibernéticos a grupos criminales de piratería informática, presumiblemente para proteger su participación en operaciones de piratería informática contra sus ciudadanos. En el pasado, el Departamento del Tesoro de Estados Unidos ha sancionado a empresas iraníes que actuaron como vanguardia de la Guardia Revolucionaria de Irán y llevaron a cabo ciberataques como phishing dirigido y ataques de ingeniería social.
«Esto demuestra que hacer clic en enlaces no solicitados de WhatsApp, por muy convincentes que sean, es una actividad arriesgada e insegura», dijo Miller.
Para contactar a este reportero de forma segura, puede hacerlo usando Signal a través del nombre de usuario zackwhittaker.1337.
Lorenzo Franceschi-Bicchierai contribuyó con el reportaje.
Source link
