Un delincuente descuidado, el mejor aliado del investigador: ciberespías iraníes dejaron las pruebas en bandeja

Hackers vinculados con Irán atacaron varias agencias de Omán y dejaron rastros de la operación a la vista de todos. En un servidor abierto en los Emiratos Árabes Unidos especialistas encontraron herramientas de ataque, registros de los operadores, un servidor de control y datos robados de decenas de miles de ciudadanos. El principal objetivo de la operación fue el Ministerio de Justicia y Asuntos Jurídicos de Omán.

El servidor con un directorio abierto estaba en la dirección 172.86.76[.]127 y funcionaba en la plataforma RouterHosting. Cualquiera podía acceder a los archivos de los atacantes. Entre el contenido había scripts para ataques, código de control, registros de conexiones y archivos con la información robada.

Especialistas de Hunt descubrieron que la campaña afectó no solo al Ministerio de Justicia. Los ataques también se dirigieron contra la Policía Real de Omán, la Autoridad Fiscal, la Oficina Nacional de Auditoría, el Ministerio de Finanzas, la Autoridad de Aviación Civil y otras agencias. En total se hallaron rastros de actividad en la infraestructura de 12 organismos estatales.

En el servidor se encontró un directorio separado con herramientas para comprometer sistemas gubernamentales de Omán. En su interior había scripts para atacar Microsoft Exchange, escalar privilegios en SQL Server, eludir mecanismos de protección y ejecutar código malicioso directamente en la memoria de los equipos.

Los operadores usaron una consola web alojada en el servidor del ministerio. A través de ella los atacantes ejecutaban comandos en sistemas infectados, recopilaban datos y se movían por la red interna. Uno de los scripts ejecutaba automáticamente comandos para obtener información del usuario, el nombre del equipo y la configuración de red.

Los registros del servidor de control muestran que el ataque continuó al menos hasta el 10 de abril de 2026. Durante ese tiempo los atacantes extrajeron más de 26.000 cuentas de usuarios del sistema del ministerio, incluidas direcciones de correo electrónico y credenciales. También se robaron expedientes judiciales, decisiones de comités, datos sobre la certificación de profesionales y datos de ciudadanos de Omán.

Entre la información robada había números de identidad nacional, fechas de nacimiento, nombres en árabe e inglés, así como datos sobre la nacionalidad. Los datos se almacenaban en un directorio separado en el servidor de control.

Para afianzarse en el sistema los operadores intentaron crear una tarea llamada MicrosoftEdgeUpdate que habría proporcionado acceso persistente a la red del organismo. La protección integrada de Windows bloqueó el intento; sin embargo, en el servidor se hallaron scripts separados para desactivar el antivirus.

La infraestructura de la campaña apunta a una posible conexión con grupos iraníes. Cerca del servidor de control los especialistas encontraron dominios que imitaban medios de oposición iraníes, así como recursos con herramientas para eludir la censura en internet. Parte de la infraestructura se alojó en servidores en los Emiratos Árabes Unidos y en Suiza.

Por las herramientas y métodos utilizados, la operación recuerda la actividad de los grupos APT34 y MuddyWater, que anteriormente se relacionaban con el Ministerio de Inteligencia y Seguridad de Irán. Entre las coincidencias los especialistas señalaron el uso de ProxyShell, PowerShell, Chisel y métodos característicos de trabajo dentro de la red.

No hay pruebas directas que vinculen la operación a un grupo concreto. Los autores del informe consideran que la campaña encaja en el patrón general de operaciones relacionadas con estructuras estatales iraníes.