El grupo Predatory Sparrow ha emergido como uno de los adversarios de ciber-sabotaje más destructivos, dirigiendo sus ataques con precisión militar contra infraestructura crítica en Oriente Medio, principalmente en Irán y Siria, con actividad documentada desde 2019 hasta 2025. Sus blancos incluyen ferrocarriles nacionales, plantas siderúrgicas, estaciones de servicio, bancos y plataformas de criptomonedas.
Sabotaje con Precisión y Wipers Personalizados
Predatory Sparrow ha evolucionado de un actor “hacktivista” a un adversario capaz de paralizar servicios críticos y generar efectos físicos y socioeconómicos reales.
Tácticas y Modus Operandi
- Malware Borrador (Wipers): El grupo utiliza malware borrador personalizado, scripts por lotes y secuencias por pasos (setup.bat, msrun.bat, cache.bat, bcd.bat) que deshabilitan adaptadores de red, borran logs con wevtutil y destruyen datos. El malware “Meteor” utilizado contra el sistema ferroviario iraní es un ejemplo emblemático.
- Ataque Dirigido: La configuración del malware está cifrada (usando XOR) y va dirigida a nombres de hosts específicos (ej., “PIS-APP”, “WSUSPROXY”) que demuestran que el actor tiene conocimiento previo de la arquitectura de la víctima.
- Propaganda Pública: El actor mezcla propaganda pública (mensajes visibles en tableros, sonidos de pago en estaciones) con operaciones técnicas avanzadas. Esto maximiza el impacto psicológico, de marca y geopolítico.
- Fraude Financiero: Además del sabotaje físico, han atacado el sector financiero/cripto, donde en un ataque reportado, anunciaron haber destruido más de US $90 millones en criptomonedas.
El Objetivo es la Destrucción: La estrategia del grupo no es solo el robo de datos, sino la destrucción de datos y la paralización total de servicios críticos (ferrocarriles, combustible, finanzas), lo que exige una respuesta de seguridad diferente a la de un simple ransomware.
Recomendaciones
Aislamiento y Microsegmentación (OT/IT)
- Aislamiento Físico/Lógico: Identificar todos los sistemas SCADA/OT (Operational Technology) que puedan conectarse a internet o a redes poco segmentadas. Asegurar que estén aislados y accesibles solo mediante canales controlados (VPN de gestión, jump hosts).
- Microsegmentación: Implementar microsegmentación para separar redes de supervisión, control y gestión de TI. Restringir el movimiento lateral y limitar estrictamente los privilegios.
Gestión de Scripts y Endpoints
- Bloqueo de Scripts Maliciosos: Crear alertas para la ejecución de batch scripts con nombres comunes de esta campaña (setup.bat, msrun.bat, cache.bat, bcd.bat).
- Monitoreo de Destrucción: Monitorear activamente accesos a adaptadores de red, cambios de configuración, y la ejecución de comandos para la destrucción de logs (wevtutil cl) o la eliminación de volúmenes sombra (vssadmin delete shadows).
- Control de Hosts: Auditar hosts críticos buscando malware y verificar que no existan backdoors o cambios que apunten a los nombres clave de la arquitectura de la víctima (“PIS-APP”, “WSUSPROXY”, etc.).
Plan de Respuesta a Sabotaje
- Backups Fuera de Línea: Asegurar que existan respaldos inmutables y air-gapped (fuera de línea) para todos los datos críticos.
- Simulacros de Sabotaje: Realizar ejercicios de war-gaming o tabletop enfocados en escenarios de sabotaje industrial para garantizar que las defensas OT resistan la destrucción deliberada y que el personal pueda restaurar el servicio rápidamente.
- Monitoreo C2: Monitorizar dominios/IPs asociados a C2 de Predatory Sparrow (según fuentes de inteligencia) y establecer reglas de firewall para tráfico inusual desde segmentos OT.
