Con la actual crisis iraní en su punto álgido, la ciberactividad es un componente relevante del panorama de amenazas, junto con la presión cinética y política. El ecosistema iraní incluye múltiples clústeres alineados con entidades estatales, el Cuerpo de la Guardia Revolucionaria Islámica (CGRI) y el Ministerio de Inteligencia y Seguridad (MOIS), así como operadores desmentidos y grupos hacktivistas. Este ecosistema sustenta una amplia gama de objetivos: espionaje para obtener inteligencia y establecerse; disrupción y actividad destructiva, incluyendo ataques DDoS, pseudo ransomware y borrado de datos para imponer costos; y operaciones de información que combinan actividad destructiva o fugas de datos con amplificación coordinada en línea. Se prevé que esta actividad se intensifique y se extienda por Oriente Medio, Estados Unidos y otros países que Irán considera sus oponentes en la guerra actual.
Estos son los principales clústeres de actores de amenazas vinculados a Irán que podrían ser relevantes para esta guerra, y las tácticas, técnicas y procedimientos (TTP) que han utilizado recientemente contra objetivos en Oriente Medio y Estados Unidos. A continuación, Check Point Research destaca cómo se manifiestan estas tácticas en operaciones reales, las señales de alerta temprana que los defensores deben observar y las medidas de mitigación más importantes en este momento.
Cotton Sandstorm
Cotton Sandstorm (también conocida como Emennet Pasargad / Aria Sepehr Ayandehsazan, también conocida como MarnanBridge/Haywire Kitten) es un actor cibernético iraní afiliado al CGRI, conocido por sus operaciones de influencia cibernética y sus campañas de ‘reacción rápida’ cuando se disparan los acontecimientos regionales. Su estrategia combina la actividad cibernética disruptiva clásica con operaciones de información: desfiguración de sitios web, ataques DDoS, secuestro de correos electrónicos y cuentas, y robo de datos, seguido de una amplificación de estilo ‘hackeo y filtración’ utilizando identidades falsas y suplantación de identidad para moldear narrativas.
En los últimos años, Cotton Sandstorm ha expandido sus operaciones más allá de Israel, abarcando un conjunto más amplio de víctimas, incluyendo actividades centradas en el Golfo. Estos incluyen el acceso no autorizado a una empresa estadounidense de streaming de IPTV para transmitir mensajes generados por IA sobre la guerra en Gaza, que afectan principalmente a los Emiratos Árabes Unidos, o ataques repetidos contra entidades e infraestructuras del gobierno bahreiní, enmarcados en mensajes antimonárquicos para protestar por la normalización de las relaciones con Israel.
En los últimos meses, Check Point Research observó un conjunto de herramientas de malware consistentes asociadas con Cotton Sandstorm. Los actores utilizan habitualmente WezRat, un ladrón de información modular personalizado que se distribuye mediante campañas de phishing selectivo que se hacen pasar por actualizaciones urgentes de software. En algunos casos, las intrusiones fueron seguidas por la implementación del ransomware WhiteLock específicamente contra objetivos israelíes, aunque nada les impide expandir esta actividad a otros países.
Un día después del inicio del conflicto, Cotton Sandstorm revivió su antigua identidad cibernética, Altoufan Team, que se especializaba principalmente en atacar a Baréin y había permanecido en silencio durante más de un año, reivindicando algunos nuevos supuestos objetivos en Baréin. Esto refleja la naturaleza reactiva de las campañas del actor y una alta probabilidad de que sigan participando en intrusiones en todo Medio Oriente en medio del conflicto.
Educated Manticore
Educated Manticore es un clúster alineado con la Organización de Inteligencia del Cuerpo de la Guardia Revolucionaria Islámica (CGRI-IO) y que se solapa con la actividad de APT35/APT42 (‘Gatito Encantador’). Este actor de amenazas muestra un sólido patrón de suplantación de identidad de alta confianza contra individuos específicos: periodistas, investigadores, expertos en seguridad, académicos y grupos e individuos con sede en el extranjero que se oponen al régimen iraní. En el actual contexto de escalada, es especialmente importante rastrear a este actor, ya que prioriza el acceso basado en relaciones: ataca a personas que pueden facilitar una vulneración más amplia: aquellas con acceso privilegiado a correo electrónico, unidades compartidas o proximidad a los responsables de la toma de decisiones.
Campañas recientes observadas por Check Point Research muestran phishing selectivo por correo electrónico e ingeniería social multicanal, incluyendo aplicaciones de mensajería, que canalizan a los objetivos hacia kits de phishing. Estos kits se hacen pasar por una amplia gama de servicios como WhatsApp, Microsoft Teams y Google Meet, y su objetivo es robar credenciales y tokens de sesión para luego recopilar información, como correos electrónicos y documentos, de forma discreta. En algunos casos, también pueden vigilar objetivos, incluyendo la revelación de datos de ubicación. Una de las últimas campañas que atribuimos a Educated Manticore se observó dirigida a activistas y a un grupo limitado de personalidades de alto perfil en Oriente Medio y Estados Unidos.
MuddyWater
MuddyWater (también conocido como Mango Sandstorm / Static Kitten) está ampliamente vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS) y cuenta con un largo historial de intrusiones con fines de espionaje contra objetivos gubernamentales, de telecomunicaciones, energéticos y del sector privado en Oriente Medio. El grupo suele comprometer entornos empresariales estándar y mantiene el acceso para la recopilación de datos, e históricamente ha optado por la interrupción de operaciones cuando se le encomienda. Su alcance es amplio: ataca con frecuencia a organizaciones en Israel y el Golfo Pérsico, y en ocasiones se extiende más allá de Oriente Medio.
Un seguimiento reciente muestra una dependencia continua de herramientas de monitorización y gestión remotas (RMM), a menudo suministradas a través de servicios legítimos de intercambio de archivos y distribuidas mediante oleadas de correos electrónicos de phishing a gran escala enviados a cientos de destinatarios. Para objetivos de mayor valor, MuddyWater implementa malware personalizado y herramientas de corta duración que se reemplazan rápidamente. Algunas campañas recientes sugieren que algunos elementos de estas herramientas podrían haber sido desarrollados con asistencia de IA. A pesar de la amplia riqueza y el alto perfil de estos actores, sus principales tácticas y técnicas se han mantenido constantes a lo largo de los años: uso extensivo de herramientas integradas de Windows (PowerShell/WMI), abuso de herramientas legítimas de monitorización y gestión remota, y robo de credenciales para facilitar el movimiento lateral, a menudo mediante el control de cuentas de correo electrónico internas para enviar phishing posterior desde dentro de la organización.
Handala
Handala (a menudo conocido como ‘Handala Hack Team’) surgió como una identidad hacktivista pro-palestina a finales de 2023 y se considera una de las varias identidades en línea mantenidas por Void Manticore, un actor afiliado a MOIS. En el actual clima de escalada, merece una estrecha vigilancia, ya que está optimizado para la disrupción psicológica y reputacional: irrumpe en sistemas de bajo perfil, realiza actividades de piratería y filtración de datos y programa la publicación de material robado para maximizar la presión.
La actividad de piratería y filtración de datos de este actor de amenazas se centra principalmente en Israel, con ocasionales ataques fuera de ese ámbito cuando cumple una agenda específica. Las actividades observadas recientemente son oportunistas y ‘sucias’, con un enfoque notable en puntos de apoyo en la cadena de suministro (por ejemplo, proveedores de TI/servicios) para llegar a las víctimas posteriores, seguidas de publicaciones «de prueba» para aumentar la credibilidad e intimidar a los objetivos. A partir de enero, en medio de protestas nacionales y un bloqueo de internet en todo Irán, Check Point Research observó campañas de Handala que se originaban en rangos de IP de Starlink y que buscaban configuraciones incorrectas y credenciales débiles en aplicaciones externas.
A medida que se desarrollaba el conflicto, el actor de amenazas ya comenzó a difundir afirmaciones y mensajes amenazantes dirigidos a los países del Golfo y Oriente Medio:
Agrius
Agrius (también conocido como Pink Sandstorm / Agonizing Serpens) es un actor iraní activo desde 2020, con informes públicos que lo vinculan con MOIS. Es conocido por sus operaciones destructivas en Oriente Medio, a menudo con énfasis en objetivos israelíes. Agrius prioriza el impacto: ha llevado a cabo ataques disruptivos bajo múltiples alias para causar disrupciones a nivel de red y moldear narrativas mediante filtraciones de datos robados, y fue uno de los primeros actores vinculados a Irán observados en aplicar esta estrategia contra objetivos israelíes y emiratíes.
Su actividad se basa principalmente en operaciones de borrado y falso ransomware que enmascaran operaciones de influencia destructiva como ataques de ransomware. Como vector de acceso inicial, el grupo suele explotar servidores web con conexión a internet, que a menudo operan desde una infraestructura VPN israelí comercial. Posteriormente, implementan un webshell ASPX y utilizan técnicas de ‘living off the land’ (LOLBins) y herramientas públicas de reconocimiento y tunelización de tráfico para mantener el acceso y moverse lateralmente. Durante la guerra de 12 días entre Israel e Irán en junio de 2025, Check Point Research observó que la infraestructura vinculada a Agrius escaneaba activamente en busca de cámaras vulnerables en todo Israel, probablemente para respaldar la visibilidad posterior al ataque y la evaluación de daños/daños en batalla (BDA).
Recomendaciones: detección y mitigación
Los principales actores del nexo con Irán siguen una estrategia similar, lo que brinda a los defensores una ventaja para aprovechar su actividad y reducir eficazmente la superficie de ataque.
Las medidas defensivas recomendadas incluyen:
- Monitorear y clasificar el tráfico asociado con nodos de salida de VPN comerciales comunes (p. ej., Mullvad, NordVPN, PIA, ProtonVPN).
- Auditar los activos expuestos a internet, incluidas las cámaras IP, para detectar credenciales predeterminadas y vulnerabilidades conocidas sin parchear (CVE antiguos).
- Aplicar MFA resistente al phishing para Google/M365 siempre que sea posible.
- Tratar las solicitudes no solicitadas de ‘entrevistas, colaboraciones, revisiones o reuniones’, especialmente de nuevos perfiles o dominios similares, como una posible señal de phishing de credenciales.
- Evitar instalar software desconocido, especialmente cualquier software enviado por correo electrónico.
- Supervisar la autenticación anómala, incluyendo inicios de sesión sospechosos y la reproducción de tokens de sesión.
Dada la escalada actual, priorizar estas medidas ahora puede ayudar a prevenir el acceso oportunista y contener los incidentes antes de que se vuelvan disruptivos o se difundan públicamente.
