Una nueva investigación de Symantec de Broadcom y Carbon Black Threat Hunter Team ha descubierto evidencia de que un género de hackers iraní se ha incrustado en las redes de varias empresas estadounidenses, incluidos bancos, aeropuertos, organizaciones sin fines de provecho y la rama israelí de una empresa de software.
La actividad se ha atribuido a un género de piratería patrocinado por el estado llamado FangosoAgua (todavía conocido como oruga de semilla). Está afiliado al Tarea de Inteligencia y Seguridad de Irán (MOIS). Se estima que la campaña comenzó a principios de febrero, y se detectó actividad nuevo tras los ataques militares estadounidenses e israelíes contra Irán.
“La compañía de software es proveedor de las industrias aeroespacial y de defensa, entre otras, y tiene presencia en Israel, y la operación de la compañía en Israel parece ser el objetivo de esta actividad”, dijo el proveedor de seguridad en un referencia compartido con The Hacker News.
Se ha descubierto que los ataques dirigidos a la empresa de software, así como a un parcialidad estadounidense y una estructura sin fines de provecho canadiense, allanaron el camino para una puerta trasera previamente desconocida denominada Dindoor, que aprovecha el tiempo de ejecución de JavaScript de Deno para su ejecución. Broadcom dijo que todavía identificó un intento de extraer datos de la compañía de software utilizando la utilidad Rclone a un depósito de almacenamiento en la estrato de Wasabi. Sin requisa, actualmente no se sabe si el esfuerzo dio sus frutos.
Incluso se encontró en las redes de un aeropuerto de EE. UU. y de una estructura sin fines de provecho una puerta trasera de Python separada emplazamiento Fakeset, que se descargó de servidores pertenecientes a Backblaze, una empresa estadounidense de almacenamiento en la estrato y copia de seguridad de datos. El certificado digital utilizado para firmar Fakeset todavía se ha utilizado para firmar el malware Stagecomp y Darkcomp, uno y otro previamente vinculados a MuddyWater.
“Aunque este malware no se vio en las redes objetivo, el uso de los mismos certificados sugiere que el mismo actor, concretamente Seedworm, estaba detrás de la actividad en las redes de las empresas estadounidenses”, dijeron Symantec y Carbon Black.
“Los actores de amenazas iraníes se han vuelto cada vez más competentes en los últimos primaveras. No sólo han mejorado sus herramientas y su malware, sino que todavía han demostrado sólidas capacidades de ingeniería social, incluidas campañas de phishing y operaciones de ‘trampa de miel’ utilizadas para construir relaciones con objetivos de interés para obtener camino a cuentas o información confidencial”.
Los hallazgos se producen en el contexto de una ascensión del conflicto marcial en Irán, que ha desencadenado una avalancha de ciberataques en la esfera digital. Una investigación nuevo de Check Point ha descubierto que el género hacktivista propalestino conocido como Handala Hack (todavía conocido como Void Manticore) dirige sus operaciones a través de rangos de IP de Starlink para investigar aplicaciones externas en rebusca de configuraciones erróneas y credenciales débiles.
En los últimos meses, múltiples adversarios del conexión con Irán, como Agrius (todavía conocido como Agonizing Serpens, Marshtreader y Pink Sandstorm), todavía han observado escaneos en rebusca de cámaras vulnerables de Hikvision y soluciones de videoportero utilizando fallas de seguridad conocidas como CVE-2017-7921 y CVE-2023-6895.
Los ataques, según Check Point, se han intensificado a raíz del flagrante conflicto en Oriente Medio. Los intentos de explotación de cámaras IP han experimentado un aumento en Israel y los países del Vagabundo, incluidos los Emiratos Árabes Unidos, Qatar, Bahréin y Kuwait, encima del Líbano y Chipre. La actividad ha señalado cámaras de Dahua y Hikvision, armando las dos vulnerabilidades ayer mencionadas, así como CVE-2021-36260, CVE-2025-34067 y CVE-2021-33044.
“En conjunto, estos hallazgos son consistentes con la evaluación de que Irán, como parte de su doctrina, aprovecha el compromiso de la cámara para el apoyo operante y la evaluación continua de daños de batalla (BDA) para operaciones de misiles, potencialmente en algunos casos ayer de los lanzamientos de misiles”, dijo la compañía.
“Como resultado, el seguimiento de la actividad de la cámara dirigida a infraestructuras específicas y atribuidas puede servir como un indicador temprano de una posible actividad cinética de seguimiento”.
La erradicación de Estados Unidos e Israel contra Irán todavía ha provocado un aviso del Centro Canadiense para la Seguridad Cibernética (CCCS), que advirtió que Irán probablemente utilizará su trasto cibernético para organizar ataques de represalia contra infraestructura crítica y operaciones de información para promover los intereses del régimen.
Algunos otros acontecimientos esencia que se han desarrollado en los últimos días se enumeran a continuación:
- Las agencias de inteligencia israelíes piratearon la extensa red de cámaras de tráfico de Teherán durante primaveras para monitorear los movimientos de los guardaespaldas del Ayatollah Ali Khamenei y otros altos funcionarios iraníes en el período previo al crimen del líder supremo la semana pasada, informó el Financial Times.
- El Cuerpo de la Pelotón Revolucionaria Islámica de Irán (CGRI) atacó el centro de datos de Amazon en Bahréin por el apoyo de la compañía a las “actividades militares y de inteligencia del enemigo”, dijo el medio estatal Fars News Agency en Telegram.
- Se dice que se están llevando a extremo campañas activas de precisión contra los sectores energético, financiero, estatal y de servicios públicos de Israel. “El cantera de limpiaparabrisas de Irán incluye más de 15 familias (ZeroCleare, Meteor, Dustman, DEADWOOD, Apostle, BFG Agonizer, MultiLayer, PartialWasher y otras)”, dijo Anomali.
- Los grupos APT patrocinados por el estado iraní como MuddyWater, Charming Kitten, OilRig, Elfin y Fox Kitten “demostraron signos claros de activación y reequipamiento rápido, posicionándose para operaciones de represalia en medio de la ascensión del conflicto”, dijo LevelBlue, añadiendo que “lo cibernético representa una de las herramientas asimétricas más accesibles de Irán para tomar represalias contra los estados del Vagabundo que condenaron sus ataques y apoyaron las operaciones estadounidenses”.
- Según Flashpoint, una campaña cibernética masiva #OpIsrael que involucra a actores prorrusos y proiraníes se ha dirigido a los sistemas de control industrial (ICS) y portales gubernamentales israelíes en Kuwait, Jordania y Bahréin. La campaña está impulsada por NoName057(16), Handala Hack, Fatemiyoun Electronic Team y Cyber Islamic Resistance (todavía conocido como 313 Team).
- Entre el 28 de febrero de 2026 y el 2 de marzo de 2026, el género hacktivista prorruso Z-Pentest se atribuyó la responsabilidad de comprometer varias entidades con sede en Estados Unidos, incluidos sistemas ICS y SCADA y múltiples redes de CCTV. “El momento de estas afirmaciones no verificadas, que coinciden con la Operación Epic Fury, sugiere que Z-Pentest probablemente comenzó a priorizar entidades estadounidenses como objetivos”, dijo a The Hacker News Adam Meyers, jerarca de Operaciones Contra Adversarios de CrowdStrike.
“La capacidad cibernética ataque de Irán ha madurado hasta convertirse en un aparato duradero de poder estatal utilizado para apoyar la compendio de inteligencia, la influencia regional y la señalización estratégica durante períodos de tensión geopolítica”, dijo UltraViolet Cyber. “Una característica definitoria de la flagrante doctrina cibernética de Irán es su vigor en la identidad y los aviones de control de la estrato como principal superficie de ataque”.
“En extensión de priorizar la explotación de día cero o malware mucho novedoso a escalera, los operadores iraníes tienden a centrarse en técnicas de camino repetibles como el robo de credenciales, la pulverización de contraseñas y la ingeniería social, seguidas de la persistencia a través de servicios empresariales ampliamente implementados”.
Se recomienda a las organizaciones que refuercen su postura de ciberseguridad, fortalezcan las capacidades de monitoreo, limiten la exposición a Internet, deshabiliten el camino remoto a los sistemas de tecnología operativa (OT), apliquen la autenticación multifactor (MFA) resistente al phishing, implementen la segmentación de la red, realicen copias de seguridad fuera de itinerario y garanticen que todas las aplicaciones conectadas a Internet, puertas de enlace VPN y dispositivos perimetrales estén actualizados.
“Las organizaciones occidentales deben continuar en alerta máxima en presencia de una posible respuesta cibernética a medida que el conflicto continúa y la actividad puede ir más allá del hacktivismo y convertirse en operaciones destructivas”, dijo Meyers.
