Listas de agentes del Mossad y secretos militares: así atacan a Israel los hackers proiraníes
Empresas israelíes han empezado a pagar en secreto rescates para evitar la difusión de información robada.
Operadores proiraníes de programas de ransomware están cambiando de herramienta. En lugar de Sicarii, los grupos han comenzado a pasarse a BQTLock. El cambio va acompañado de un llamado a los simpatizantes de campañas hacktivistas pro-palestinas y proiraníes a infectar con más intensidad los sistemas de las víctimas.
Sobre el cambio informaron los especialistas del Halcyon Ransomware Research Center. El administrador de Sicarii bajo el seudónimo Uke B3 (Uke) reconoció que el equipo ya no puede manejar el flujo de solicitudes de los socios. La dirección de Sicarii decidió centrarse en acciones hacktivistas y derivó a los operadores de ransomware a la plataforma BQTLock, que opera bajo el modelo "ransomware como servicio".
El equipo de BQTLock anunció de inmediato en Telegram acceso gratuito al servicio para hacktivistas. El mensaje iba dirigido a cualquiera capaz de atacar la "entidad sionista". Si se cumplen varios requisitos, los atacantes pueden utilizar la plataforma sin pagar.
El ransomware BQTLock fue revelado por primera vez en el verano de 2025. El desarrollo se vincula con los hacktivistas pro-palestinos Liwaa Mohammad y Karim Fayad. El grupo Liwaa Mohammad, dirigido por Karim Fayad (ZeroDayX o ZeroDayX1), forma parte de la agrupación más amplia Cyber Islamic Resistance. BQTLock y Sicarii son dos plataformas separadas de "ransomware como servicio" utilizadas por operadores que apoyan la agenda pro-palestina y proiraní.
BQTLock emplea el esquema de doble extorsión. Los atacantes no solo cifran los datos, sino que también amenazan con publicar los archivos robados. En el sitio de filtraciones de BQTLock ya han aparecido datos de organizaciones del sector hotelero y educativo en los Emiratos Árabes Unidos, EE. UU. e Israel. En los canales de Cyber Islamic Resistance también se discuten ataques contra infraestructuras críticas y estructuras militares. En Telegram publicaron, por ejemplo, lo que alegaban ser una base de datos robada de militares israelíes y una lista de presuntos agentes del servicio de inteligencia israelí Mossad.
En los ataques también participa el grupo hacktivista Cyber Fattah Team, que colabora con Liwaa Mohammad. Los miembros de Cyber Fattah Team afirman que están usando el exploit activo React2Shell. En diciembre de 2025 los integrantes del grupo dijeron haber realizado con éxito un ataque a una organización israelí aprovechando la vulnerabilidad React2Shell y desplegando BQTLock. Como prueba publicaron una captura de pantalla que utiliza un exploit de demostración conocido. El nombre de la organización afectada no llegó a aparecer en el sitio de filtraciones de BQTLock. Una posible razón es que la empresa pudo pagar el rescate antes de la publicación de los datos, o que los atacantes decidieron no revelar la información.