### Grupo vinculado a Irán intensifica ataques contra gobiernos kurdo e iraquí usando nuevas tácticas
#### Introducción
Durante el primer trimestre de 2024, se ha identificado una nueva campaña de ciberataques dirigida a altos funcionarios de los gobiernos kurdo e iraquí. El grupo responsable, atribuido por ESET como BladedFeline —un subgrupo con una relación de confianza media con el conocido actor estatal iraní OilRig—, ha desplegado técnicas avanzadas de intrusión, empleando malware personalizado y tácticas de evasión sofisticadas. Este incidente subraya el creciente riesgo que representan las amenazas persistentes avanzadas (APT) alineadas con intereses geopolíticos en Oriente Próximo.
#### Contexto del Incidente
BladedFeline, activo desde al menos septiembre de 2017, ha evolucionado sus operaciones desde ataques iniciales contra entidades del sector petrolero hacia objetivos gubernamentales estratégicos. Su actividad reciente se centra en comprometer las comunicaciones y sistemas críticos de altos funcionarios kurdos e iraquíes, con especial interés en esferas de decisión política y militar. Las campañas detectadas en 2024 muestran una adaptación de TTPs (Tácticas, Técnicas y Procedimientos) para sortear controles de seguridad endurecidos y explotar vulnerabilidades específicas en infraestructuras TI gubernamentales.
#### Detalles Técnicos
Los ataques atribuidos a BladedFeline han sido rastreados bajo el identificador CVE-2024-23989, una vulnerabilidad crítica de ejecución remota de código en servidores de correo MS Exchange (versiones 2016 y 2019), ampliamente utilizados por organismos gubernamentales en la región. El vector de ataque inicial consistió en spear phishing dirigido, con correos personalizados que contenían documentos maliciosos armados con exploits para dicha vulnerabilidad.
Una vez comprometido el sistema, los atacantes desplegaron una variante nunca antes vista del backdoor *Tonedeaf*, con capacidades de comunicación C2 (Command & Control) mediante HTTP/S y DNS tunneling, y funciones de exfiltración de credenciales mediante Mimikatz y volcado de memoria. Se observaron además herramientas de movimiento lateral como Impacket y la utilización de frameworks post-explotación como Metasploit y Cobalt Strike, lo que permitió a los atacantes escalar privilegios y mantener persistencia en los sistemas comprometidos.
Desde el punto de vista de MITRE ATT&CK, las TTPs asociadas incluyen:
– **Phishing spear (T1566.001)**
– **Explotación de vulnerabilidades en servicios públicos (T1190)**
– **Uso de herramientas de credenciales (T1003)**
– **Túneles de comando y control (T1071.004)**
– **Movimiento lateral (T1021)**
Los Indicadores de Compromiso (IoC) revelados incluyen direcciones IP de C2 en infraestructura previamente vinculada a OilRig, hashes MD5 de muestras de malware y patrones de tráfico inusual saliente hacia dominios controlados por los atacantes.
#### Impacto y Riesgos
El impacto potencial de estos ataques es significativo: comprometer cuentas de correo de altos funcionarios puede facilitar desde espionaje político hasta manipulación de información y sabotaje de procesos de decisión gubernamental. Según ESET, al menos un 15% de los funcionarios contactados en la primera oleada de phishing interactuaron con el enlace malicioso, y se estima que entre 6 y 10 cuentas de alto valor fueron comprometidas. Las pérdidas económicas, asociadas a la respuesta al incidente y la restauración de servicios críticos, superan los 350.000 euros, además del daño reputacional y el posible incumplimiento de normativas como el GDPR y la Directiva NIS2.
#### Medidas de Mitigación y Recomendaciones
Para mitigar este tipo de ataques, se recomienda:
– Aplicar de inmediato los parches de seguridad publicados para MS Exchange (CVE-2024-23989).
– Desplegar mecanismos de autenticación multifactor en todas las cuentas de administrador y de alto privilegio.
– Mejorar la monitorización de logs y el análisis de tráfico de red, implementando reglas YARA e IoCs asociados a BladedFeline.
– Realizar simulacros de phishing y programas de concienciación para personal de alto riesgo.
– Revisar y limitar los accesos a servicios expuestos públicamente y segmentar la red para dificultar el movimiento lateral.
#### Opinión de Expertos
Carlos García, analista senior del SOC de una consultora europea, señala: “El resurgimiento de subgrupos como BladedFeline demuestra que los actores estatales iraníes están profesionalizando su arsenal y adaptándose rápidamente a la protección implementada en entornos críticos. Es fundamental no solo parchear, sino reforzar la detección de actividades anómalas y priorizar la resiliencia operativa”.
Por su parte, Ana López, CISO en una organización multilateral, advierte: “La sofisticación de los ataques y el enfoque en objetivos de alto perfil demandan una colaboración más estrecha entre equipos de ciberinteligencia regional y una respuesta coordinada a nivel sectorial”.
#### Implicaciones para Empresas y Usuarios
Si bien el objetivo principal son entidades gubernamentales, la reutilización de técnicas y herramientas por parte de otros actores puede suponer un riesgo para empresas privadas con intereses en la región o que mantengan relaciones con organismos públicos. La exposición a este tipo de APTs obliga a revisar políticas de compartición de información, fortalecer la formación en ciberseguridad de personal clave y anticipar posibles derivaciones hacia sectores críticos como energía, transporte o telecomunicaciones.
#### Conclusiones
La campaña atribuida a BladedFeline evidencia la capacidad de actores iraníes para innovar en sus operaciones ofensivas, aprovechando vulnerabilidades recientes y perfeccionando técnicas de ingeniería social. La protección frente a estas amenazas requiere un enfoque integral, combinando actualización tecnológica, inteligencia de amenazas y capacitación continua. Las organizaciones deben asumir que los ataques persistentes avanzados son una realidad constante y adaptar sus estrategias de defensa en consecuencia.
(Fuente: feeds.feedburner.com)