En medio del conflicto en Irán, los investigadores de amenazas de Proofpoint, empresa de ciberseguridad y cumplimiento normativo, están detectando un rápido aumento en ciberactividad proestado que apunta a entidades gubernamentales y diplomáticas de Oriente Próximo.
Grupos de amenaza iraníes han permanecido algo activos a pesar del cierre de internet por parte del gobierno iraní inmediatamente después de los primeros ataques de Estados Unidos e Israel. Es el caso de TA453 (Charming Kitten, Mint Sandstorm o APT42) que ha llevado a cabo un intento de phishing de credenciales contra un think tank estadounidense. Sin embargo, la correspondencia por correo electrónico había comenzado antes del estallido del conflicto, por lo que se trataría de una acción recurrente contra su conjunto de objetivos tradicional.
Asimismo, poco tiempo después del inicio de esta guerra, múltiples actores de amenazas avanzadas empezaron a usar el conflicto como señuelo para sus operaciones de espionaje, extendiendo esta actividad más allá del propio Irán. El análisis de Proofpoint refleja además que otros grupos de amenazas alineados con China, Bielorrusia o Pakistán, entre otros países, han lanzado campañas maliciosas entre las 24 y las 72 horas posteriores a la escalada de este conflicto. Proofpoint señala que, para estos ciberdelincuentes, la guerra es una manera oportunista de realizar operaciones rutinarias de inteligencia.
Según Proofpoint, diversas campañas han aprovechado cuentas de correo electrónico ministeriales comprometidas para aumentar la credibilidad y eludir las defensas. Hay asimismo varios grupos de ciberdelincuencia no rastreados antes que han distribuido campañas de phishing rápidamente con la temática del conflicto.
Siguiendo unas técnicas de ataque de precisión, conocidas como geocercado, los atacantes han realizado una entrega selectiva de cargas útiles, páginas de recolección de credenciales que suplantaban servicios de Microsoft y, en algún caso, una cadena completa de despliegue del software de simulación de amenazas Cobalt Strike.
Los investigadores de Proofpoint observan que “la guerra en Irán está funcionando tanto de pretexto de ingeniería social como para impulsar una carrera de inteligencia más amplia en el ciberespacio”. Mientras los actores de espionaje iraníes siguen centrados en sus objetivos de inteligencia de siempre, mezclando el espionaje tradicional y las campañas disruptivas en apoyo de los intereses bélicos, otros grupos estatales se esfuerzan por recopilar información, atacando a entidades gubernamentales y diplomáticas de Oriente Próximo, sobre la posición, trayectoria y las implicaciones geopolíticas de este conflicto.
