Se ha observado que el actor de amenazas patrocinado por el estado iraní conocido como APT42 ataca a personas y organizaciones que son de interés para el Cuerpo de la Custodia Revolucionaria Islámica (IRGC) como parte de una nueva campaña centrada en el espionaje.
La actividad, detectada a principios de septiembre de 2025 y considerada en curso, recibió el nombre en código lanzaespectro por la Agencia Digital Franquista de Israel (INDA).
“La campaña se ha dirigido sistemáticamente a altos funcionarios gubernamentales y de defensa de suspensión valía utilizando tácticas personalizadas de ingeniería social”, dijeron los investigadores del INDA Shimi Cohen, Adi Pick, Idan Beit-Yosef, Hila David y Yaniv Goldman. “Estos incluyen invitar a los destinatarios a conferencias prestigiosas o organizar reuniones importantes”.
Lo sobresaliente del esfuerzo es que asimismo se extiende a los familiares de los objetivos, creando una superficie de ataque más amplia que ejerce más presión sobre los objetivos principales.
APT42 fue documentado públicamente por primera vez a finales de 2022 por Google Mandiant, detallando sus superposiciones con otro género de amenazas del IRGC rastreado como APT35, CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, Educated Manticore, GreenCharlie, ITG18, Magic Hound, Mint Sandstorm (anteriormente Phosphorus), TA453 y Yellow Garuda.
Una de las características distintivas del género es su capacidad para totalizar campañas convincentes de ingeniería social que pueden durar días o semanas en un esfuerzo por crear confianza con los objetivos, en algunos casos haciéndose acaecer por contactos conocidos para crear una ilusión de autenticidad, antiguamente de mandar una carga maliciosa o engañarlos para que hagan clic en enlaces trampa.
En junio de 2025, Check Point detalló una ola de ataques en la que los actores de amenazas se acercaron a profesionales israelíes de tecnología y ciberseguridad haciéndose acaecer por ejecutivos o investigadores de tecnología en correos electrónicos y mensajes de WhatsApp.
Goldman dijo a The Hacker News que SpearSpecter y la campaña de junio de 2025 son distintas y han sido llevadas a parte por dos subgrupos diferentes interiormente de APT42.
“Mientras que nuestra campaña se llevó a parte en el género D de APT42 (que se centra más en operaciones basadas en malware), la campaña detallada por Check Point se llevó a parte en el género B del mismo género (que se centra más en la monasterio de credenciales)”, añadió Goldman.
INDA dijo que SpearSpecter es flexible en el sentido de que el adversario modifica su enfoque en función del valía del objetivo y los objetivos operativos. En una serie de ataques, las víctimas son redirigidas a páginas de reuniones falsas diseñadas para capturar sus credenciales. Por otro flanco, si el objetivo final es un golpe persistente a espacioso plazo, los ataques conducen al despliegue de una conocida puerta trasera de PowerShell denominada TAMECAT que se ha utilizado repetidamente en los últimos primaveras.
Con ese fin, las cadenas de ataque implican hacerse acaecer por contactos confiables de WhatsApp para mandar un enlace malvado a un documento supuestamente requerido para una próxima reunión o conferencia. Cuando se hace clic en el enlace, se inicia una dependencia de redireccionamiento para servir un golpe directo de Windows (LNK) alojado en WebDAV que se hace acaecer por un archivo PDF aprovechando el compensador de protocolo “search-ms:”.
El archivo LNK, por su parte, establece contacto con un subdominio de Cloudflare Workers para recuperar un script por lotes que funciona como un cargador para TAMECAT, que, a su vez, emplea varios componentes modulares para solucionar la exfiltración de datos y el control remoto.
El ámbito de PowerShell utiliza tres canales distintos, a enterarse, HTTPS, Discord y Telegram, para el comando y control (C2), lo que sugiere que el objetivo del actor de amenazas es suministrar el golpe persistente a los hosts comprometidos incluso si una vía es detectada y bloqueada.
Para C2 basado en Telegram, TAMECAT audición los comandos entrantes de un bot de Telegram controlado por un atacante, en función del cual recupera y ejecuta código PowerShell adicional de diferentes subdominios de Cloudflare Workers. En el caso de Discord, se utiliza una URL de webhook para mandar información básica del sistema y obtener comandos a cambio de un canal codificado.
“El exploración de las cuentas recuperadas del servidor Discord del actor sugiere que la dialéctica de búsqueda de comandos se zócalo en mensajes de un legatario específico, lo que permite al actor entregar comandos únicos a hosts infectados individuales mientras usa el mismo canal para coordinar múltiples ataques, creando efectivamente un espacio de trabajo colaborativo en una sola infraestructura”, dijeron los investigadores de INDA.
Adicionalmente, TAMECAT viene equipado con funciones para realizar reconocimientos, resumir archivos que coincidan con determinadas extensiones, robar datos de navegadores web como Google Chrome y Microsoft Edge, resumir buzones de correo de Outlook y tomar capturas de pantalla en intervalos de 15 segundos. Los datos se extraen a través de HTTPS o FTP.
Incluso adopta una variedad de técnicas sigilosas para evitar la detección y resistir los esfuerzos de exploración. Estos incluyen el enigmático de cargas avíos de telemetría y controladores, la ofuscación del código fuente, el uso de binarios que viven fuera de la tierra (LOLBins) para ocultar actividades maliciosas y el funcionamiento principalmente en la memoria, dejando así pequeños rastros en el disco.
“La infraestructura de la campaña SpearSpecter refleja una combinación sofisticada de agilidad, sigilo y seguridad operativa diseñada para sostener un espionaje prolongado contra objetivos de suspensión valía”, dijo INDA. “Los operadores aprovechan una infraestructura multifacética que combina servicios legítimos en la nimbo con fortuna controlados por atacantes, lo que permite un golpe original fluido, comando y control persistente (C2) y filtración ajuste de datos”.
