## Grupo APT iraní vinculado al IRGC dirige campañas de spear-phishing contra expertos de ciberseguridad en Israel

### Introducción

En las últimas semanas, los equipos de inteligencia de amenazas han detectado una sofisticada campaña de spear-phishing dirigida contra periodistas, expertos de ciberseguridad de alto perfil y profesores universitarios en Israel. Las investigaciones apuntan a un grupo APT (Advanced Persistent Threat) respaldado por el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). Este actor malicioso, conocido por su persistencia y su enfoque en la obtención de inteligencia estratégica, ha perfeccionado sus técnicas de ingeniería social y suplantación de identidad para comprometer a objetivos críticos en el sector tecnológico y académico.

### Contexto del Incidente o Vulnerabilidad

El grupo responsable, atribuido por varias fuentes de inteligencia como APT42 (también conocido como Charming Kitten o Phosphorus), opera bajo la dirección del IRGC y mantiene un historial prolongado de ataques contra objetivos de alto valor en Oriente Medio y Occidente. En esta ocasión, la campaña se enfoca en Israel, país con un ecosistema tecnológico avanzado y una comunidad de ciberseguridad de referencia mundial.

Los atacantes han suplantado la identidad de asistentes ficticios, presentándose como intermediarios de reconocidos profesionales del ámbito tecnológico y de la seguridad informática. El objetivo es generar confianza y credibilidad entre las potenciales víctimas, facilitando así la entrega de enlaces maliciosos o archivos adjuntos comprometidos.

### Detalles Técnicos

La campaña se caracteriza por el uso de correos electrónicos de spear-phishing cuidadosamente elaborados. Los mensajes suelen incluir invitaciones a conferencias, solicitudes de colaboración o entrevistas en medios especializados. Los atacantes emplean direcciones de correo electrónico que imitan dominios legítimos, a menudo mediante técnicas de typosquatting.

En cuanto a los vectores de ataque, se ha observado la utilización de enlaces a páginas de inicio de sesión falsas (phishing) diseñadas para recopilar credenciales corporativas y académicas. En otras variantes, los correos incluyen archivos adjuntos con macros maliciosas en documentos de Microsoft Office o scripts en PDF, que al ser ejecutados descargan payloads adicionales desde infraestructuras de comando y control (C2) controladas por el actor.

Las muestras analizadas presentan técnicas de evasión y persistencia avanzadas, como el uso de PowerShell obfuscado y la explotación de servicios cloud legítimos para el alojamiento de cargas útiles. Los TTP (Tactics, Techniques, Procedures) identificados corresponden a referencias en MITRE ATT&CK como:

– Spearphishing via Service (T1194)
– Phishing (T1566.001)
– Valid Accounts (T1078)
– Command and Scripting Interpreter: PowerShell (T1059.001)

Los Indicadores de Compromiso (IoC) incluyen una lista creciente de hashes de archivos, direcciones IP de C2 y dominios fraudulentos, compartidos por los equipos de respuesta a incidentes y CERT israelíes.

### Impacto y Riesgos

El éxito de esta campaña representa una amenaza significativa para la seguridad nacional y la industria tecnológica israelí. La obtención de credenciales de acceso puede facilitar movimientos laterales en infraestructuras críticas, robo de propiedad intelectual, acceso a información sensible y el despliegue posterior de malware especializado, como backdoors y herramientas de exfiltración de datos.

Al menos un 15% de las víctimas confirmadas han sido comprometidas, según fuentes de inteligencia locales, lo que podría escalar a vulneraciones de plataformas colaborativas, sistemas de correo corporativo (Microsoft 365, Google Workspace) y redes académicas. Las consecuencias pueden derivar en filtraciones masivas, extorsión y campañas de desinformación.

### Medidas de Mitigación y Recomendaciones

Para los equipos de seguridad, se recomienda:

– Monitorizar los IoC publicados y actualizar las listas de bloqueo (blacklists) en firewalls y gateways de correo.
– Aplicar filtros de autenticación de correo (DMARC, SPF, DKIM) para limitar la recepción de correos fraudulentos.
– Realizar campañas internas de concienciación sobre spear-phishing dirigidas a perfiles de alto riesgo.
– Implementar MFA (autenticación multifactor) y revisar los logs de acceso inusual.
– Deshabilitar macros por defecto en documentos Office y restringir la ejecución de scripts desconocidos en endpoints.
– Colaborar con CERTs nacionales e internacionales para el intercambio rápido de inteligencia sobre nuevas TTP e infraestructuras maliciosas.

### Opinión de Expertos

Especialistas en ciberinteligencia como Gil Messing (Check Point) advierten que los actores respaldados por estados están perfeccionando la ingeniería social y la personalización de ataques, lo que desafía los controles tradicionales de seguridad perimetral. Además, subrayan la importancia de la colaboración sectorial y el uso de honeypots para identificar patrones emergentes de ataque.

### Implicaciones para Empresas y Usuarios

Las empresas tecnológicas y los centros académicos deben revisar sus protocolos de respuesta ante incidentes y considerar la aplicación de la directiva NIS2, que refuerza la obligación de notificar brechas y fortalecer la resiliencia de infraestructuras críticas. El cumplimiento del GDPR es esencial ante posibles filtraciones de datos personales, con riesgos de sanciones significativas y daños reputacionales.

Los usuarios individuales, especialmente aquellos en posiciones de influencia o investigación, deben extremar la precaución al interactuar con nuevos contactos, verificar la autenticidad de invitaciones y no reutilizar contraseñas entre servicios.

### Conclusiones

La campaña de spear-phishing atribuida al IRGC demuestra el elevado nivel de sofisticación de los actores estatales en la ciberguerra moderna y subraya la necesidad de estrategias de defensa multicapa y una vigilancia constante. La colaboración entre equipos de inteligencia, empresas y el sector público será crucial para mitigar futuras amenazas de este tipo.

(Fuente: feeds.feedburner.com)