Hackers iraníes se hacen pasar por tus colegas: ten cuidado al responder en WhatsApp
Check Point Research desvela la estructura de los grupos de hackers iraníes
El ciberespacio hace tiempo se ha convertido en otro frente del conflicto en Oriente Medio. En medio de una nueva escalada en torno a Irán, los especialistas de Check Point Research recordaron qué grupos iraníes ya operan en la red y qué métodos emplean.
Según la compañía, alrededor de las estructuras estatales del país se ha formado todo un ecosistema de clústeres de hackers. Parte está vinculada al Cuerpo de Guardianes de la Revolución Islámica y al Ministerio de Inteligencia y Seguridad de Irán, mientras que otra opera bajo la cobertura de hacktivistas. Las campañas incluyen espionaje, ataques a infraestructuras, destrucción de datos y operaciones de información, cuando las intrusiones van acompañadas de la publicación de materiales robados y la difusión masiva de mensajes en la red.
Entre los participantes más notorios, los especialistas citan al grupo Cotton Sandstorm, también conocido por los nombres Emennet Pasargad y MarnanBridge. Su actividad se relaciona con el Cuerpo de Guardianes de la Revolución Islámica. El grupo realiza operaciones de influencia y reacciona con rapidez a los acontecimientos políticos en la región. En el arsenal de Cotton Sandstorm están la intrusión en sitios web, ataques DDoS, el compromiso de cuentas de correo electrónico y cuentas de usuario, el robo de datos y la publicación de filtraciones. Los materiales robados se distribuyen después a través de cuentas falsas y haciéndose pasar por otras personas.
En los últimos años las operaciones han trascendido a territorios fuera de Israel. Entre los episodios citados está el hackeo de un servicio estadounidense de IPTV, a través del cual los atacantes retransmitieron mensajes generados por inteligencia artificial sobre la guerra en la Franja de Gaza para espectadores en los Emiratos Árabes Unidos. El grupo también atacó regularmente instituciones estatales de Baréin y acompañó sus campañas con propaganda antimonárquica.
En ataques recientes Cotton Sandstorm empleó el malware WezRat. El software malicioso se propaga mediante correos de phishing que se hacen pasar por actualizaciones urgentes de programas. WezRat roba datos de usuarios y permite desplegar herramientas adicionales. En varios casos, tras la intrusión los atacantes lanzaron el ransomware WhiteLock contra organizaciones israelíes. Al día siguiente del inicio de la actual escalada, el grupo también revivió la antigua identidad en la red Altoufan Team. Bajo ese nombre los atacantes ya publican comunicados sobre nuevos ataques contra objetivos en Baréin.
Otro clúster activo que citan los especialistas es Educated Manticore. El grupo está vinculado a una unidad de inteligencia del Cuerpo de Guardianes de la Revolución Islámica y se cruza con la actividad de APT35 y APT42, agrupaciones conocidas como Charming Kitten.
La táctica principal se basa en la confianza personal. Los atacantes se hacen pasar por conocidos o colegas y establecen contacto con periodistas, académicos, analistas y otras figuras públicas. Apuntan a personas con acceso a la correspondencia laboral, documentos internos y contactos importantes. Tras establecer el contacto, dirigen a la víctima a páginas de phishing que imitan WhatsApp, Microsoft Teams o Google Meet. Con estas páginas sustraen contraseñas y tokens de sesión, obtienen acceso al correo y a los documentos. En algunos casos las operaciones permiten rastrear la ubicación de la víctima. Las campañas recientes afectaron a activistas y a varias personas conocidas en Oriente Medio y en Estados Unidos.
Al grupo MuddyWater se le atribuye relación con el Ministerio de Inteligencia y Seguridad de Irán. A lo largo de años de actividad los atacantes realizaron numerosas operaciones de espionaje contra organismos estatales, empresas de telecomunicaciones, el sector energético y negocios en Oriente Medio. El grupo suele infiltrarse en redes corporativas ordinarias y permanecer dentro de la infraestructura durante largo tiempo, recopilando datos. Para el acceso, a menudo usan herramientas de administración y supervisión remota distribuidas a través de servicios legítimos de intercambio de archivos. Los correos de phishing pueden enviarse a cientos de empleados de la empresa a la vez.
En ataques contra objetivos de mayor relevancia, MuddyWater emplea malware propio y herramientas temporales que cambia con rapidez. Sin embargo, la táctica básica casi no varía: usan herramientas integradas de Windows como PowerShell y WMI, roban credenciales y se mueven lateralmente por la red, con frecuencia comprometiendo el correo corporativo y enviando nuevos correos de phishing ya desde cuentas de empleados.
Se presta especial atención al grupo Handala, que apareció a finales de 2023 y se presenta como un movimiento hacktivista pro-palestino. Según Check Point Research, la figura Handala sirve como una de las máscaras en línea del clúster Void Manticore, vinculado al Ministerio de Inteligencia y Seguridad de Irán. La misión principal de las campañas de Handala es la presión psicológica y el daño reputacional.
Los atacantes comprometen sistemas vulnerables, sustraen datos y publican materiales en los momentos más sensibles. La mayoría de los ataques se dirige contra organizaciones israelíes, aunque a veces aparecen objetivos en otros países. Las campañas recientes tienen un carácter oportunista: los atacantes buscan puntos débiles en proveedores de servicios TI y, a través de esas empresas, intentan acceder a los clientes. Desde enero, los especialistas también han registrado actividad de Handala desde direcciones IP de la red satelital Starlink, cuando los atacantes comprobaban aplicaciones externas en busca de errores de configuración y contraseñas débiles.
Otro grupo vinculado a estructuras iraníes se denomina Agrius. Sus campañas son conocidas por ataques destructivos en la región desde 2020. En la mayoría de los casos los atacantes emplean programas destructores de datos (wipers) y operaciones que disfrazan como ataques de ransomware. El grupo suele iniciar la infiltración a través de servidores web vulnerables accesibles desde internet.
Tras la intrusión, los atacantes instalan un web shell ASPX y emplean herramientas del sistema integradas para reconocimiento y movimiento lateral por la red. Durante el conflicto de doce días entre Israel e Irán en junio de 2025, los especialistas detectaron infraestructura de Agrius que escaneaba cámaras de vigilancia vulnerables en Israel. Tales dispositivos podrían haberse utilizado para observar las consecuencias de los ataques.
Según Check Point Research, la mayoría de los grupos iraníes actúa con un esquema parecido. Los atacantes emplean activamente phishing, herramientas legítimas de administración y vulnerabilidades en servicios externos.
Las empresas y las organizaciones estatales pueden reducir el riesgo de ataques si vigilan atentamente los accesos sospechosos a las cuentas, limitan el acceso a los sistemas, actualizan los servicios en internet y no instalan programas de fuentes no verificadas. En el contexto de la escalada actual, tales medidas permiten detectar una intrusión a tiempo y evitar consecuencias destructivas.