Recientemente, un grupo cibercriminal vinculado a Irán lanzó una campaña de spear-phishing coordinada y dirigida a embajadas, consulados y entidades internacionales en Europa, África, Asia, Medio Oriente y América.
¿Cómo funcionó el ataque?
- Correos con apariencia oficial: Los atacantes enviaron correos electrónicos con temas sensibles, como las tensiones entre Irán e Israel. Estos mensajes fueron diseñados para parecer comunicaciones diplomáticas auténticas.
- Documentos de Word maliciosos: Los mensajes incluían archivos adjuntos de Word que solicitaban al usuario habilitar las macros (“Enable Content”). Al hacerlo, se ejecutaban scripts de VBA que instalaban malware.
- Cuentas legítimas comprometidas: Los correos provenían de 104 buzones de correo reales y comprometidos, incluso de instituciones diplomáticas (como el Ministerio de Asuntos Exteriores de Omán en París), lo que incrementaba la credibilidad del ataque.
- Objetivos principales: El personal de embajadas europeas y los diplomáticos en África fueron los blancos más atacados.
Una vez que los cibercriminales obtuvieron el control, el malware establecía conexión con servidores de Comando y Control (C2) para recolectar información del sistema y asegurar la persistencia.
Un patrón de ataque
Este ataque no es un caso aislado. Otros grupos iraníes han estado activos en:
- Campañas contra Albania: Atacaron instituciones gubernamentales en 2022 y 2023.
- Operaciones de hack-and-leak: Además del espionaje, buscan exponer públicamente datos para causar un daño reputacional.
- Uso de infraestructura legítima: Emplean cuentas comprometidas y servidores de terceros para disfrazar el origen de la operación.
Posibles objetivos
- Espionaje diplomático: Acceso a comunicaciones internas, listas de contactos y agendas.
- Interferencia geopolítica: Manipular relaciones internacionales, anticipar decisiones y generar una ventaja estratégica para Irán.
- Puerta de entrada a ataques futuros: Los datos recolectados podrían ser usados para campañas más avanzadas de phishing dirigido, suplantación de identidad o ataques en cadena contra socios diplomáticos.
Recomendaciones
- Implementa autenticación de correo electrónico: Usa SPF, DKIM y DMARC para reducir la posibilidad de que se abusen de dominios legítimos en campañas de phishing.
- Usa soluciones de seguridad de correo avanzadas: Aplica herramientas con sandboxing para analizar archivos adjuntos antes de que lleguen al usuario.
- Capacita a todo el personal: Enséñales a detectar el spear-phishing e identificar señales de alerta, como la urgencia inusual en el mensaje, archivos adjuntos sospechosos o temas sensibles.
- Realiza simulacros internos de phishing: Evalúa la preparación de los usuarios y refuerza la cultura de seguridad en tu organización.
