Desde el espionaje hasta el «pseudo ransomware», los grupos alineados con Teherán intensifican sus operaciones contra objetivos en Medio Oriente y Estados Unidos, combinando ataques destructivos con tácticas de desinformación.
En el actual escenario de tensión en Medio Oriente, la guerra no solo se libra en el terreno físico. La ciberactividad iraní se ha consolidado como un pilar estratégico, operando en paralelo a la presión política y militar. Según informes recientes de Check Point Research, este ecosistema está compuesto por múltiples clústeres vinculados al Cuerpo de la Guardia Revolucionaria Islámica (CGRI) y al Ministerio de Inteligencia y Seguridad (MOIS).
Estos actores no solo buscan el espionaje tradicional, sino que han evolucionado hacia la disrupción destructiva: ataques DDoS, borrado de datos y operaciones de información diseñadas para amplificar el impacto psicológico en sus oponentes.
Los principales protagonistas del mapa de amenazas
1. Cotton Sandstorm: Los especialistas en «reacción rápida»
Afiliado al CGRI, este grupo destaca por su capacidad de respuesta ante eventos regionales. Su táctica maestra es el «hackeo y filtración»: roban datos y los difunden mediante identidades falsas para moldear narrativas.
- Acciones recientes: Secuestro de servicios de streaming en EE. UU. para difundir mensajes sobre la guerra en Gaza y ataques a infraestructuras en Bahréin.
- Herramientas: Utilizan el malware WezRat y el ransomware WhiteLock.
2. Educated Manticore: El ataque al círculo de confianza
Este clúster (vinculado a APT35/APT42) se especializa en la ingeniería social de alta precisión. Su objetivo no es solo vulnerar sistemas, sino personas clave: periodistas, académicos y responsables de la toma de decisiones.
- Táctica: Suplantan aplicaciones como WhatsApp, Microsoft Teams y Google Meet para robar credenciales y tokens de sesión, permitiendo un acceso discreto a correos y documentos confidenciales.
3. MuddyWater: La persistencia del espionaje estatal
Vinculado al MOIS, este grupo es conocido por su enfoque en sectores gubernamentales y energéticos. A diferencia de otros, MuddyWater prefiere mantener un acceso prolongado para la recolección de inteligencia.
- Método: Abuso de herramientas legítimas de administración remota (RMM) y uso extensivo de PowerShell. Curiosamente, se han detectado indicios de que parte de su código reciente podría haber sido desarrollado con asistencia de Inteligencia Artificial.
4. Handala: La fachada del hacktivismo
Surgido a finales de 2023, Handala se presenta como un grupo activista pro-palestino, aunque los analistas lo vinculan directamente con el MOIS. Su objetivo principal es la disrupción psicológica.
- Enfoque: Ataques a proveedores de servicios de TI (cadena de suministro) para alcanzar múltiples víctimas, seguidos de publicaciones de datos robados para intimidar y dañar la reputación de sus objetivos.
Señales de alerta y mitigación
Para los defensores de redes y especialistas en ciberseguridad, Check Point Research advierte sobre ciertas señales críticas:
- Phishing selectivo: Correos que simulan actualizaciones urgentes de software o invitaciones a plataformas de reuniones virtuales.
- Movimiento lateral: El uso de cuentas de correo internas ya comprometidas para lanzar ataques hacia otros departamentos de la misma organización.
- Herramientas legítimas mal utilizadas: Vigilancia extrema sobre el uso de herramientas de monitoreo remoto (RMM) no autorizadas.
La previsión es clara: se espera que esta actividad no solo se mantenga, sino que se extienda más allá de las fronteras de Medio Oriente, alcanzando a cualquier país que Irán considere un oponente en el conflicto actual.
Acerca de Check Point Research
Check Point Research proporciona inteligencia de ciberamenazas líder a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que garantiza que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERT.
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de plataformas de ciberseguridad basadas en la nube y basadas en IA que protege a más de 100 000 organizaciones en todo el mundo. Check Point aprovecha el poder de la IA en todas partes para mejorar la eficiencia y la precisión de la ciberseguridad a través de su plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva de las amenazas y tiempos de respuesta más rápidos e inteligentes. La plataforma integral incluye tecnologías entregadas en la nube que consisten en Check Point Harmony para proteger el espacio de trabajo, Check Point CloudGuard para proteger la nube, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos.
