Un nuevo grupo de ciberespionaje, calificado como UNK_SmudgedSerpent por la empresa de seguridad Proofpoint, ha sido identificado como el autor de una campaña dirigida contra académicos estadounidenses y expertos en políticas de Oriente Medio entre junio y agosto de 2025. Los ataques coinciden con un aumento de la tensión geopolítica entre Irán e Israel.
SmudgedSerpent: Espionaje Disfrazado de Seminario Académico
La campaña utiliza la confianza inherente de la red académica para obtener acceso a investigaciones, know-how y contactos de alto valor político.
Mecanismo de Ingeniería Social
- Cebo Dirigido: El atacante se hace pasar por un investigador o invitado prestigioso y propone la participación en paneles o seminarios académicos sobre temas sensibles (cambio social en Irán, militarización del IRGC).
- Vector de Infección: Los correos contienen un enlace o archivo que simula ser una invitación a reuniones de Microsoft Teams o un documento PDF con un briefing.
- Despliegue de Payload: El enlace conduce a una página de phishing o descarga código malicioso que instala una puerta trasera (backdoor), keylogger o software de exfiltración de datos.
- TTPs Compartidos: El modus operandi comparte tácticas, técnicas y procedimientos (TTPs) con grupos iraníes conocidos, como TA455 (Smoke Sandstorm) y TA453 (Charming Kitten).
Implicaciones Críticas
- Objetivo Estratégico: El blanco no son corporaciones, sino académicos y expertos en política exterior, lo que indica un objetivo claro de inteligencia estatal o sub-estado.
- Ingeniería Social Especializada: Atacar a través de invitaciones a seminarios o paneles académicos es una nueva forma de ingeniería social altamente dirigida, adaptada a redes académicas que pueden tener menores barreras de seguridad que las corporativas.
- Ampliación del Riesgo: El payload instalado en un equipo académico puede permitir al adversario pivotar hacia entidades asociadas, laboratorios o colaboradores gubernamentales del experto.
- Teams como Vector de Confianza: La utilización de la plataforma Teams (o suplantación de invitaciones) facilita la trampa, ya que el objetivo espera recibir invitaciones legítimas a través de ese canal.
Recomendaciones
Formación y Verificación Rigurosa
- Verificación de Origen: Verificar que toda invitación a seminarios o reuniones provenga de fuentes institucionales confirmadas. Si la invitación incluye un enlace externo o sitio desconocido, validar directamente con el organizador por un medio alternativo.
- Separación de Cuentas: Usar cuentas dedicadas para la investigación y el relacionamiento externo, separadas de cuentas administrativas o de acceso a datos sensibles.
Endurecimiento de la Red de Investigación (Universidades / SOC)
- Monitoreo de Teams: Monitorizar logs de Microsoft 365/Teams para invitaciones enviadas desde dominios externos, registros de clics en links de invitaciones inusuales y descargas de artefactos asociados.
- Segmentación de Red: Segmentar la red de investigación de la red principal administrativa. Los equipos de académicos deben tener restricciones de red y el tráfico externo hacia servicios menos monitoreados debe ser auditado.
- Control de Endpoints: Asegurarse de que las estaciones de trabajo de los investigadores tengan antivirus/EDR activos, las actualizaciones de sistema al día y que no existan herramientas instaladas sin autorización.
Simulacros Específicos
- Simulacros de Phishing: Realizar simulacros de phishing dirigido que incluyan escenarios de “invitación académica” o “panel internacional” para mejorar la detección y respuesta del personal.
- Auditoría de Invitados: Establecer alertas para nuevas cuentas con acceso de invitado a Teams que provengan de direcciones de correo externas poco conocidas o asociadas a zonas de riesgo geopolítico.
