Un supuesto actor de amenazas del trabazón con Irán ha sido atribuido a una campaña dirigida a funcionarios gubernamentales en Irak haciéndose sobrevenir por el Ocupación de Asuntos Exteriores del país para entregar un conjunto de malware nunca antaño trillado.
Zscaler ThreatLabz, que observó la actividad en enero de 2026, está rastreando el clúster con el nombre Espectro de polvo. Los ataques, que se manifiestan en forma de dos cadenas de infección diferentes, culminan con la implementación de malware denominado SPLITDROP, TWINTASK, TWINTALK y GHOSTFORM.
“Dust Spectre utilizó rutas URI generadas aleatoriamente para la comunicación de comando y control (C2) con títulos de suma de demostración añadidos a las rutas URI para respaldar que estas solicitudes se originaran en un sistema infectado vivo”, dijo el investigador de seguridad Sudeep Singh. “El servidor C2 asimismo utilizó técnicas de geocercado y demostración de usuario-agente”.
Un aspecto trascendente de la campaña es el compromiso de la infraestructura relacionada con el gobierno iraquí para organizar cargas maliciosas, sin mencionar el uso de técnicas de esparcimiento para retrasar la ejecución y sobrevenir desapercibidas.
La primera secuencia de ataque comienza con un archivo RAR protegido con contraseña, interiormente del cual existe un cuentagotas .NET llamado SPLITDROP, que actúa como conducto para TWINTASK, un módulo de trabajo, y TWINTALK, un orquestador C2.
TWINTASK, por su parte, es una DLL maliciosa (“libvlc.dll”) que el binario legal “vlc.exe” descarga para sondear periódicamente un archivo (“C:ProgramDataPolGuidin.txt”) cada 15 segundos en búsqueda de nuevos comandos y ejecutarlos usando PowerShell. Esto asimismo incluye comandos para establecer persistencia en el host mediante cambios en el Registro de Windows. La salida del script y los errores se capturan en un archivo de texto separado (“C:ProgramDataPolGuidout.txt”).
TWINTASK, en el primer inicio, está diseñado para ejecutar otro binario legal presente en el archivo extraído (“WingetUI.exe”), lo que provoca que descargue la DLL TWINTALK (“hostfxr.dll”). Su objetivo principal es comunicarse con el servidor C2 para obtener nuevos comandos, coordinar tareas con TWINTASK y filtrar los resultados al servidor. Admite la capacidad de escribir el cuerpo del comando desde la respuesta C2 a “in.txt”, así como descargar y cargar archivos.
“El orquestador C2 trabaja en paralelo con el módulo de trabajo descrito anteriormente para implementar un mecanismo de escarbado basado en archivos utilizado para la ejecución de código”, dijo Singh. “Tras la ejecución, TWINTALK ingresa a un caracolillo de baliza y retrasa la ejecución en un intervalo azaroso antaño de sondear el servidor C2 en búsqueda de nuevos comandos”.
La segunda sujeción de ataque representa una cambio de la primera, consolidando toda la funcionalidad de TWINTASK y TWINTALK en un único binario denominado GHOSTFORM. Utiliza la ejecución de scripts de PowerShell en memoria para ejecutar comandos recuperados del servidor C2, eliminando así la privación de escribir artefactos en el disco.
Ese no es el único factótum diferenciador entre las dos cadenas de ataque. Se ha descubierto que algunos archivos binarios de GHOSTFORM incorporan una URL de Google Forms codificada que se inicia automáticamente en el navegador web predeterminado del sistema una vez que el malware comienza a ejecutarse. El formulario presenta contenido escrito en árabe y se hace sobrevenir por una indagación oficial del Ocupación de Asuntos Exteriores de Irak.
El examen de Zscaler del código fuente de TWINTALK y GHOSTFORM asimismo descubrió la presencia de títulos de señalador de posición, emojis y texto Unicode, lo que sugiere que se pueden activo utilizado herramientas de inteligencia fabricado (IA) generativa para ayudar con el explicación del malware.
Es más, se dice que el dominio C2 asociado con TWINTALK, “sitio de aplicación de reunión (.)”, fue utilizado por los actores de Dust Spectre en una campaña de julio de 2025 para tener una página de invitación a una reunión de Cisco Webex falsa que indica a los usuarios que copien, peguen y ejecuten un script de PowerShell para unirse a la reunión. Las instrucciones reflejan una táctica ampliamente audiencia en los ataques de ingeniería social al estilo ClickFix.
El script de PowerShell, por su parte, crea un directorio en el host e intenta recuperar una carga útil no especificada del mismo dominio y guardarla como un ejecutable interiormente del directorio recién creado. Además crea una tarea programada para ejecutar el binario pillo cada dos horas.
Las conexiones de Dust Spectre con Irán se basan en el hecho de que los grupos de hackers iraníes tienen un historial de explicación de puertas traseras .NET ligeras y personalizadas para conquistar sus objetivos. El uso de infraestructura gubernativo iraquí comprometida se ha observado en campañas pasadas vinculadas a actores de amenazas como OilRig (asimismo conocido como APT34).
“Esta campaña, atribuida con un nivel de confianza medio a stop a Dust Spectre, probablemente se dirigió a funcionarios gubernamentales que utilizaban señuelos convincentes de ingeniería social que se hacían sobrevenir por el Ocupación de Asuntos Exteriores de Irak”, dijo Zscaler. “La actividad asimismo refleja tendencias más amplias, incluidas técnicas de estilo ClickFix y el creciente uso de IA generativa para el explicación de malware”.
