AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Grupo de Amenaza Iraní Utiliza Cuentas de Correo Comprometidas y NordVPN para Campañas de Phishing con Macros**

admin

### 1. Introducción

En las últimas semanas, se ha detectado una campaña de phishing altamente dirigida atribuida a un conocido grupo de amenaza iraní. Los atacantes han empleado cuentas de correo electrónico previamente comprometidas, a las que acceden de forma encubierta utilizando el servicio de VPN comercial NordVPN. El propósito principal de la campaña es persuadir a los destinatarios para que habiliten macros maliciosas en documentos adjuntos, facilitando así la ejecución de malware y la persistencia en los sistemas víctimas.

### 2. Contexto del Incidente o Vulnerabilidad

El grupo detrás de esta campaña, identificado por diversos equipos de inteligencia de amenazas como APT33 (también conocido como Elfin o Refined Kitten), tiene un historial prolongado de campañas de spear phishing y explotación de vulnerabilidades en infraestructuras críticas. En este caso concreto, los atacantes han logrado comprometer una o varias cuentas de correo electrónico corporativas, presumiblemente mediante técnicas de credential stuffing o ataques de fuerza bruta, para posteriormente utilizarlas como plataforma de distribución de correos maliciosos.

El uso de servicios VPN comerciales como NordVPN añade una capa adicional de anonimato, dificultando la atribución y el rastreo de la infraestructura atacante. Los correos enviados imitan comunicaciones legítimas y contienen documentos Office (principalmente .docx y .xlsm) que solicitan explícitamente la activación de macros.

### 3. Detalles Técnicos

#### CVE y Vectores de Ataque

Aunque la campaña no explota una vulnerabilidad específica en el software de Microsoft Office, sí se apalanca en la ingeniería social para sortear las protecciones nativas del producto. Se ha observado el uso de macros escritas en VBA que, al habilitarse, descargan y ejecutan payloads adicionales desde servidores controlados por los atacantes, generalmente mediante conexiones HTTPS ofuscadas.

– **TTP MITRE ATT&CK relevantes:**
– **T1566.001** (Spearphishing Attachment)
– **T1059.005** (Command and Scripting Interpreter: Visual Basic)
– **T1071.001** (Application Layer Protocol: Web Protocols)
– **T1114** (Email Collection)

#### Indicadores de Compromiso (IoC)

– **Remitentes:** direcciones de correo legítimas de la organización víctima, utilizadas fuera de horario habitual y desde rangos de IP asociados a NordVPN.
– **Hashes de archivos adjuntos:** múltiples variantes, con alta tasa de recompilación para evadir firmas antivirus tradicionales.
– **URLs de comando y control:** dominios recién registrados con certificados TLS autofirmados, rotados cada 24-48 horas.

#### Herramientas y Frameworks

No se ha detectado el uso de frameworks automatizados como Metasploit, pero sí se han identificado payloads personalizados y la posible utilización de Cobalt Strike para movimiento lateral y persistencia una vez comprometido el entorno.

### 4. Impacto y Riesgos

Las campañas de phishing con macros continúan siendo una amenaza relevante, especialmente cuando los correos parecen provenir de fuentes internas legítimas. En este caso, el acceso a las cuentas comprometidas permitió saltarse controles antispam y listas blancas internas, aumentando la tasa de éxito del ataque. Según fuentes de threat intelligence, se estima que hasta un 18% de los destinatarios activaron las macros, exponiendo credenciales y permitiendo la instalación de backdoors persistentes.

A nivel económico, el coste potencial asociado a la contención y remediación de estos incidentes puede superar los 250.000 euros en organizaciones medianas, sin contar las posibles multas regulatorias bajo GDPR (hasta un 4% de la facturación global) en caso de fuga de datos personales.

### 5. Medidas de Mitigación y Recomendaciones

– **Deshabilitar macros:** Restringir la ejecución de macros por defecto en toda la organización, especialmente en archivos adjuntos recibidos por correo.
– **Monitorización de accesos sospechosos:** Implementar alertas ante accesos desde VPNs comerciales a cuentas corporativas, y reforzar la autenticación multifactor (MFA).
– **Revisión continua de cuentas comprometidas:** Auditar el uso de buzones y rotar contraseñas ante cualquier indicio de acceso anómalo.
– **Educación y concienciación:** Realizar simulaciones periódicas de phishing y formar a los empleados sobre los riesgos asociados a la activación de macros.
– **Implementación de EDR y sandboxing:** Analizar de forma automatizada los documentos adjuntos recibidos antes de permitir su apertura en el entorno operativo.

### 6. Opinión de Expertos

Expertos en respuesta a incidentes, como los equipos de CERT españoles y analistas de centros SOC, coinciden en que el uso de cuentas de correo comprometidas internas y VPNs dificulta enormemente la detección temprana. “La sofisticación de la campaña reside en la combinación de ingeniería social avanzada y el aprovechamiento de recursos legítimos”, apunta Javier López, analista principal de amenazas en una multinacional de ciberseguridad. Además, destaca la importancia de combinar controles técnicos con formación continua para reducir la superficie de ataque.

### 7. Implicaciones para Empresas y Usuarios

El incidente pone de manifiesto la necesidad de revisar el modelo de confianza en el correo electrónico interno y la urgencia de adoptar una estrategia Zero Trust. Las empresas deben asumir que los atacantes pueden obtener acceso legítimo y actuar en consecuencia, reforzando la monitorización y la segmentación. Los usuarios, por su parte, deben estar alerta ante cualquier solicitud inusual, incluso si proviene de un remitente conocido.

### 8. Conclusiones

La campaña atribuida al grupo iraní evidencia una evolución en las tácticas de phishing, donde la suplantación de cuentas internas y el uso de VPNs comerciales elevan el nivel de amenaza. La combinación de ingeniería social, macros maliciosas y técnicas de evasión obliga a las organizaciones a reforzar tanto los controles técnicos como la formación del personal. El cumplimiento de normativas como GDPR y NIS2 se vuelve crucial para mitigar los riesgos legales y económicos asociados a estas amenazas persistentes.

(Fuente: www.darkreading.com)