Los investigadores de amenazas de la empresa líder en ciberseguridad y cumplimiento normativo Proofpoint han detectado a un nuevo grupo de ciberdelincuencia alineado con Irán, denominado UNK_SmudgedSerpent, que ha estado atacando a académicos y expertos en política exterior entre junio y agosto de 2025.
En las campañas analizadas, estos atacantes conversaban de manera inofensiva con sus potenciales víctimas para ganarse su confianza y, seguidamente, intercambiaban correos electrónicos y se producía un intento de robo de credenciales. Además, se realizaban actividades de phishing dentro del mismo hilo de correo, mediante enlaces fraudulentos de la aplicación gratuita para documentos de oficina OnlyOffice o de las herramientas de monitorización y gestión remota (RMM) PDQConnect e ISL Online, rara vez vistas en operaciones de espionaje alineadas con Estados, para mantener la persistencia.
UNK_SmudgedSerpent ha aprovechado señuelos relacionados con la política y el cambio social en Irán, así como la investigación sobre la militarización del Cuerpo de la Guardia Revolucionaria Islámica. Las tácticas observadas se han detectado en múltiples grupos de APT o amenaza persistente avanzada iraníes, como TA453 (Charming Kitten), TA455 (Smoke Sandstorm) y TA450 (MuddyWater), lo que dificulta aún más la atribución, sugiriendo un solapamiento de contratistas o una colaboración interagencial dentro del ciberecosistema iraní.
Esta convergencia podría explicarse por diversos factores, como la adquisición centralizada de recursos e infraestructura, la movilidad de personal entre grupos o fusiones operativas, la influencia de relaciones interpersonales donde se comparten técnicas preferidas, el despliegue simultáneo de múltiples contratistas en una misma campaña o la colaboración institucional.
“Aunque no se ha observado a UNK_SmudgedSerpent en campañas por correo electrónico desde el pasado agosto, es probable que la actividad relacionada continúe activa. La aparición de un nuevo grupo con técnicas prestadas sugiere posibles movimientos o intercambios entre equipos, pero manteniendo un mismo objetivo”, analizan los investigadores de Proofpoint. “Al observarse una extensión en cuanto a comportamientos previamente detectados en otros grupos de amenazas iraníes, junto con el enfoque en la política exterior de Irán, todo parece apuntar a las mismas prioridades de recolección de inteligencia del Gobierno iraní”.
