Se sospecha que un actor de amenazas del conexión con Irán está detrás de una campaña de pulverización de contraseñas dirigida a entornos de Microsoft 365 en Israel y los Emiratos Árabes Unidos en medio del conflicto en curso en el Medio Oriente.
La actividad, considerada en curso, se llevó a promontorio en tres oleadas de ataques distintas que tuvieron emplazamiento el 3 de marzo, el 13 de marzo y el 23 de marzo de 2026, según Check Point.
“La campaña se centra principalmente en Israel y los Emiratos Árabes Unidos, impactando a más de 300 organizaciones en Israel y más de 25 en los Emiratos Árabes Unidos”, dijo la compañía israelí de ciberseguridad. “Asimismo se observó actividad asociada con el mismo actor contra un número menguado de objetivos en Europa, Estados Unidos, Reino Unido y Arabia Saudita”.
Se considera que la campaña se ha dirigido a entornos de nubarrón de entidades gubernamentales, municipios, organizaciones de tecnología, transporte, sector energético y empresas del sector privado de la región.
La pulverización de contraseñas es una forma de ataque de fuerza bruta en la que un actor de amenazas intenta utilizar una única contraseña popular contra varios nombres de favorecido en la misma aplicación. Asimismo se considera una forma más eficaz de descubrir credenciales débiles a escalera sin activar defensas que limiten la velocidad.
Check Point dijo que se sabe que la técnica fue adoptada por grupos de hackers iraníes como Peach Sandstorm y Gray Sandstorm (anteriormente DEV-0343) en el pasado para infiltrarse en las redes objetivo.
Básicamente, la campaña se desarrolla en tres fases: escaneo agresivo o pulverización de contraseñas realizado desde los nodos de salida de Tor, seguido de la realización del proceso de inicio de sesión y la filtración de datos confidenciales, como el contenido del caja.
“El exploración de los registros de M365 sugiere similitudes con Gray Sandstorm, incluido el uso de herramientas del equipo rojo para realizar estos ataques a través de nodos de salida Tor”, dijo Check Point. “El actor de amenazas utilizó nodos VPN comerciales alojados en AS35758 (Rachamim Aviel Twito), lo que se alinea con la actividad nuevo vinculada a las operaciones del conexión con Irán en el Medio Oriente”.
Para contrarrestar la amenaza, se recomienda a las organizaciones que supervisen los registros de inicio de sesión en búsqueda de signos de pulverización de contraseñas, apliquen controles de paso condicional para confinar la autenticación a ubicaciones geográficas aprobadas, apliquen la autenticación multifactor (MFA) para todos los usuarios y habiliten registros de auditoría para la investigación posterior al compromiso.
Irán revive las operaciones secreto de Pay2
La divulgación se produce cuando una ordenamiento de atención médica estadounidense fue atacada a fines de febrero de 2026 por Pay2Key, una facción de ransomware iraní con vínculos con el gobierno del país. La operación de ransomware como servicio (RaaS), que tiene vínculos con el congregación Fox Kitten, surgió por primera vez en 2020.
La transformación implementada en el ataque es una puesta al día de campañas anteriores observadas en julio de 2025, que utiliza técnicas mejoradas de esparcimiento, ejecución y antiforenses para ganar sus objetivos. Según Beazley Security y Halcyon, no se exfiltró ningún antecedente durante el ataque, un cambio con respecto al manual de doble trastorno del congregación.
Se dice que el ataque aprovechó una ruta de paso indeterminada para violar la ordenamiento, utilizando una aparejo legítima de paso remoto como TeamViewer para establecer un punto de apoyo, luego recoger credenciales para el movimiento contiguo, desarmar Microsoft Defender Antivirus al señalar falsamente que un producto antivirus de terceros está activo, inhibir la recuperación, implementar ransomware, despachar una nota de rescate y borrar registros para cubrir las pistas.
“Al borrar los registros al final de la ejecución en emplazamiento de al principio, los actores garantizan que incluso se borre la propia actividad del ransomware, no sólo lo que la precedió”, dijo Halcyon.
Entre los cambios secreto que el congregación promulgó tras su regreso el año pasado estuvo ofrecer a sus afiliados un retazo del 80% de las ganancias del rescate, frente al 70%, por participar en ataques contra los enemigos de Irán. Un mes a posteriori, se detectó en permiso una transformación para Linux del ransomware Pay2Key.
“La muestra se cimiento en la configuración, requiere privilegios de nivel raíz para ejecutarse y está diseñada para atravesar un amplio radio del sistema de archivos, clasificar montajes y abreviar datos usando ChaCha20 en modo total o parcial”, dijo el investigador de Morphisec Ilia Kulmin en un crónica publicado el mes pasado.
“Antiguamente del oculto, debilita las defensas y elimina la fricción al detener servicios, eliminar procesos, deshabilitar SELinux y AppArmor e instalar una entrada cron en el momento del reinicio. Esto permite que el cifrador se ejecute más rápido y sobreviva a los reinicios”.
En marzo de 2026, Halcyon incluso reveló que el administrador del ransomware Sicarii, Uke, instó a los operadores proiraníes a utilizar Baqiyat 313 Locker (incluso conocido como BQTlock) oportuno a la afluencia de solicitudes de afiliados. BQTLock, que opera con motivos propalestinos, ha inscrito a los Emiratos Árabes Unidos, Estados Unidos e Israel desde julio de 2025.
“Irán tiene un extenso historial de uso de operaciones cibernéticas para tomar represalias contra desaires políticos percibidos”, dijo la compañía de ciberseguridad. “El ransomware se incorpora cada vez más a estas operaciones, con campañas de ransomware que desdibujan la término entre la trastorno criminal y el boicoteo patrocinado por el Estado”.
