AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Alerta del FBI: Hackers iraníes del MOIS emplean Telegram como vector en ataques de malware

admin

#### Introducción

El panorama de amenazas globales ha presenciado un incremento significativo en la sofisticación de los ataques patrocinados por Estados nacionales. Recientemente, el Buró Federal de Investigaciones (FBI) de Estados Unidos ha emitido una alerta dirigida a responsables de seguridad y defensores de redes, detallando cómo actores vinculados al Ministerio de Inteligencia y Seguridad iraní (MOIS) están aprovechando la popular aplicación de mensajería Telegram como parte integral de sus campañas de distribución de malware. Este fenómeno subraya la creciente tendencia de abusar de servicios legítimos para evadir controles de seguridad y dificultar la atribución.

#### Contexto del Incidente

El FBI ha identificado a grupos de amenazas persistentes avanzadas (APT) relacionados con el MOIS que, desde finales de 2023, han intensificado el uso de canales y bots de Telegram para distribuir cargas maliciosas, exfiltrar información y coordinar ataques. Estos actores, conocidos por su historial de targeting a infraestructuras críticas y sectores gubernamentales, están adoptando métodos cada vez más elusivos, utilizando plataformas de comunicación cifrada para facilitar la comunicación con sistemas comprometidos y diseminar instrucciones a malware desplegado en redes objetivo.

En el contexto actual, donde la supervisión de canales de comunicación cifrada se enfrenta a barreras legales y técnicas, el uso de Telegram representa un reto para los equipos de respuesta a incidentes y analistas SOC, especialmente cuando el tráfico legítimo y malicioso se entremezcla.

#### Detalles Técnicos

La alerta del FBI identifica varias campañas activas explotando la plataforma Telegram. En particular, los atacantes están utilizando bots de Telegram para recibir información robada y enviar comandos a los sistemas comprometidos, actuando como una variante de C2 (Command and Control). Según las investigaciones, se han detectado variantes de malware personalizadas, así como el uso de herramientas ampliamente conocidas como Metasploit para la explotación inicial de vulnerabilidades en sistemas Windows y Linux.

**CVE y vectores de ataque:**
– Los atacantes explotan vulnerabilidades conocidas, como CVE-2023-23397 (relacionada con Microsoft Outlook) y CVE-2022-30190 (Follina), para lograr la ejecución remota de código.
– El vector inicial suele ser spear-phishing mediante correos con enlaces a archivos maliciosos o scripts PowerShell, que tras ejecución establecen comunicación con bots de Telegram para descarga de payloads adicionales.

**TTPs (MITRE ATT&CK):**
– TA0043 (Reconnaissance): Identificación de objetivos mediante escaneo de redes y harvesting de credenciales.
– TA0002 (Execution): Uso de scripts y exploits para ejecución remota.
– TA0011 (Command and Control): Comunicación a través de la API de Telegram.
– TA0009 (Collection): Exfiltración de archivos y capturas de pantalla enviadas mediante Telegram.

**IoC (Indicadores de Compromiso):**
– Dominios asociados a descarga de payloads.
– Cuentas y bots de Telegram específicos usados como C2 (listados compartidos por el FBI en su comunicado).
– Hashes de archivos maliciosos detectados en campañas recientes.

#### Impacto y Riesgos

El abuso de Telegram como canal C2 representa un desafío significativo para las arquitecturas de defensa tradicionales. La dificultad para bloquear o monitorizar el tráfico cifrado de Telegram, sin afectar a usuarios legítimos, incrementa el riesgo de persistencia y movimiento lateral de los atacantes. Sectores identificados como prioritarios en los ataques incluyen organismos públicos, operadores de infraestructuras críticas, proveedores de servicios gestionados (MSP) y organizaciones del sector financiero.

En términos de alcance, el FBI estima que más de un 30% de las intrusiones recientes atribuidas a actores iraníes involucran algún componente de Telegram en la cadena de ataque, con pérdidas económicas que podrían superar los 50 millones de dólares a escala global, considerando los costes de remediación, interrupción de servicios y sanciones regulatorias por incumplimiento de normativas como GDPR y NIS2.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a este tipo de ataques, se recomienda:

– Supervisar y restringir el tráfico hacia dominios y API de Telegram en redes corporativas, especialmente en servidores y endpoints críticos.
– Aplicar parches de seguridad para vulnerabilidades recientes (por ejemplo, CVE-2023-23397 y CVE-2022-30190).
– Implementar soluciones EDR y NDR capaces de identificar patrones anómalos de comunicación con plataformas de mensajería.
– Educar a los empleados sobre spear-phishing y campañas de ingeniería social, reforzando la autenticación multifactor (MFA) y políticas de mínimo privilegio.
– Mantener actualizados los IOC compartidos por organismos como el FBI y compartir información de amenazas a través de ISACs y plataformas colaborativas.

#### Opinión de Expertos

Especialistas en ciberinteligencia advierten que el uso de plataformas legítimas para actividades C2, lejos de ser una moda pasajera, se está consolidando como una táctica recurrente en grupos APT. “La utilización de Telegram y otros servicios cloud dificulta enormemente la detección y respuesta, ya que el tráfico puede ser indistinguible del legítimo y los servidores C2 no dependen de infraestructuras maliciosas fácilmente bloqueables”, afirma un analista de amenazas de Mandiant. Asimismo, recomiendan reforzar la visibilidad a nivel de endpoint y la correlación de logs para identificar comportamientos anómalos.

#### Implicaciones para Empresas y Usuarios

El incidente revela la necesidad de revisar las políticas de uso de servicios de mensajería en entornos corporativos y de adoptar un enfoque de Zero Trust. Las empresas deben evaluar el equilibrio entre productividad y seguridad, especialmente cuando aplicaciones como Telegram pueden convertirse en vectores de ataque. Además, el cumplimiento de regulaciones como GDPR y NIS2 exige demostrar capacidad de prevención, detección y respuesta frente a amenazas avanzadas.

#### Conclusiones

La alerta del FBI sobre el abuso de Telegram por parte de hackers iraníes vinculados al MOIS es un recordatorio del dinamismo y creatividad de los actores de amenazas patrocinados por Estados. Para los profesionales de la ciberseguridad, el reto es doble: adaptarse a tácticas cada vez más sofisticadas y mantener la protección sin obstaculizar la operativa empresarial. La colaboración internacional, la actualización continua de herramientas defensivas y la formación avanzada serán claves para hacer frente a este tipo de amenazas emergentes.

(Fuente: www.bleepingcomputer.com)