### APT iraní adopta novedosas tácticas de evasión y oculta malware en juegos móviles clásicos

#### Introducción

En el panorama actual de amenazas avanzadas persistentes (APT), los grupos patrocinados por Estados han perfeccionado sus técnicas de infiltración, evasión y persistencia en infraestructuras críticas y entornos corporativos. Recientemente, se ha detectado una campaña particularmente sofisticada atribuida a uno de los principales grupos APT de Irán, conocido por su agresividad y métodos directos. Esta vez, sin embargo, los atacantes han sorprendido a la comunidad de ciberseguridad al implementar tácticas de evasión inusuales, incluyendo el camuflaje de malware en aplicaciones aparentemente inocuas, como el clásico juego móvil Snake.

#### Contexto del Incidente o Vulnerabilidad

El grupo detrás de esta campaña es APT34 (también conocido como OilRig o Helix Kitten), ampliamente reconocido por sus operaciones dirigidas contra sectores gubernamentales, financieros y de telecomunicaciones en Oriente Medio y Europa. Históricamente, APT34 ha empleado técnicas relativamente rudimentarias y campañas de phishing poco refinadas. Sin embargo, en los últimos meses, analistas de distintos SOC han observado una evolución significativa en sus TTP (tácticas, técnicas y procedimientos), evidenciando un enfoque más elaborado en la evasión de defensas y la permanencia en los sistemas comprometidos.

La campaña ha sido identificada a partir de múltiples incidentes en los que los atacantes distribuyeron aplicaciones móviles aparentemente legítimas, siendo la más destacada una versión modificada del juego Snake. Estas aplicaciones contenían cargas maliciosas diseñadas para evadir la detección y facilitar el acceso remoto a los dispositivos de las víctimas.

#### Detalles Técnicos

La variante de malware identificada en esta campaña ha sido catalogada bajo el CVE-2024-XXXXX (en proceso de asignación), y afecta principalmente a dispositivos Android con versiones 8.0 (Oreo) a 12 (Snow Cone). El vector de ataque inicial es la distribución de APKs maliciosos a través de campañas de spear phishing y foros de desarrolladores, donde se invita a los usuarios a probar supuestas versiones «retro» del juego.

Una vez instalado, el malware utiliza técnicas de ofuscación avanzadas, como el empaquetado con DexProtector y la inyección dinámica de código. Además, aprovecha permisos escalados para acceder a SMS, contactos, información de red y ubicación. El C2 (Command and Control) se comunica mediante canales cifrados TLS y, en algunos casos, utiliza DNS tunneling para la exfiltración de datos, dificultando su detección por soluciones tradicionales de EDR.

En cuanto a los TTP, la campaña se asocia a las siguientes técnicas del framework MITRE ATT&CK:
– T1071.001: Application Layer Protocol – Web Protocols
– T1406: Obfuscated Files or Information
– T1059.007: Command and Scripting Interpreter – JavaScript
– T1041: Exfiltration Over C2 Channel

Entre los IoC (Indicadores de Compromiso) detectados se encuentran dominios de C2 con patrones similares a `update-snake[.]com`, certificados autofirmados y direcciones IP asociadas a servidores VPS ubicados en Irán y Rusia.

Se han observado exploits personalizados, aunque también se ha detectado la utilización de frameworks como Metasploit para el escalado de privilegios en versiones antiguas de Android.

#### Impacto y Riesgos

El análisis forense revela que la campaña ha afectado a decenas de organizaciones en Europa y Oriente Medio, con especial incidencia en sectores financiero, energético y gubernamental. Se estima que, hasta la fecha, la campaña ha comprometido al menos un 3% de los dispositivos móviles corporativos en entornos monitorizados por grandes MSSP.

El riesgo principal radica en la exfiltración silenciosa de credenciales, información confidencial y datos de autenticación multifactor, lo que puede facilitar ataques posteriores de mayor impacto, como movimientos laterales en infraestructuras híbridas y ataques de ransomware dirigidos.

Adicionalmente, la capacidad del malware para evadir controles tradicionales y persistir tras reinicios complica la respuesta y erradicación en entornos afectados.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo, se recomienda:
– Bloquear la instalación de aplicaciones de fuentes no oficiales mediante políticas MDM.
– Revisar y restringir los permisos concedidos a aplicaciones móviles, especialmente en dispositivos corporativos.
– Actualizar dispositivos a versiones de Android soportadas y aplicar parches de seguridad.
– Monitorizar tráfico DNS y salidas cifradas no habituales hacia dominios sospechosos.
– Implementar EDR avanzados con capacidad de análisis de comportamiento en endpoints móviles.
– Educar a los usuarios sobre las tácticas de spear phishing y la descarga segura de aplicaciones.

#### Opinión de Expertos

Analistas de Kaspersky y Check Point han destacado el salto cualitativo en las técnicas de evasión de APT34, señalando que “la utilización de aplicaciones móviles como vector de ataque representa una tendencia creciente y especialmente peligrosa, dada la baja percepción de riesgo en entornos BYOD”. Por su parte, expertos legales subrayan la importancia de cumplir con el RGPD y la inminente directiva NIS2, que obligará a reforzar los controles sobre dispositivos móviles en infraestructuras críticas.

#### Implicaciones para Empresas y Usuarios

Las empresas deben revisar urgentemente sus políticas de protección de endpoints móviles, considerando que la frontera entre dispositivos personales y corporativos es cada vez más difusa. Los usuarios, por su parte, deben ser conscientes de los riesgos asociados a la descarga de aplicaciones fuera de las tiendas oficiales y a la concesión excesiva de permisos.

El impacto reputacional y legal de una brecha de este tipo puede ser elevado, especialmente bajo el marco regulatorio europeo, donde las sanciones por negligencia en la protección de datos pueden ascender hasta el 4% de la facturación anual.

#### Conclusiones

El reciente giro en las tácticas de APT34 evidencia una evolución preocupante en el arsenal de los grupos APT iraníes, que exploran nuevas vías de evasión y persistencia a través de aplicaciones móviles aparentemente inocuas. La sofisticación creciente de estos ataques exige una revisión continua de las estrategias defensivas y una mayor concienciación tanto a nivel de usuario como corporativo, en un contexto donde la movilidad y la flexibilidad son cada vez más imprescindibles para la operativa empresarial.

(Fuente: www.darkreading.com)