Lea más sobre el ciberespionaje patrocinado por Irán: Nuevas filtraciones exponen una red de inteligencia iraní y empresas cibernéticas Estados Unidos condena a Irán y emite sanciones por ciberataques a infraestructura crítica Irán está detrás del hackeo de la campaña de Trump, confirma el gobierno de EE. UU. Un grupo de piratas informáticos asociado con el gobierno iraní ha colaborado con varios grupos de ransomware para atacar a organizaciones estadounidenses durante años, según varias agencias del gobierno de EE. UU. En un aviso conjunto del 28 de agosto, el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el Centro de Delitos Cibernéticos del Departamento de Defensa de EE. UU. (DC3) advirtieron que Fox Kitten, un grupo de amenazas persistentes avanzadas (APT) con sede en Irán, ha llevado a cabo un gran volumen de intentos de intrusión contra organizaciones estadounidenses entre 2017 y agosto de 2024. Las víctimas incluyen escuelas, gobiernos municipales, instituciones financieras e instalaciones de atención médica. En un movimiento poco común, muchas de estas operaciones tenían como objetivo permitir que otros grupos de ransomware comprometieran a las organizaciones objetivo, dijeron las tres agencias estadounidenses. Leer más: Los piratas informáticos de Peach Sandstorm respaldados por Irán implementan nuevos acuerdos encubiertos de puerta trasera Tickler con NoEscape, RansomHouse y ALPHV/BlackCat En el aviso, el FBI dijo que sabía desde hace mucho tiempo que Fox Kitten había intentado monetizar su acceso a organizaciones objetivo en mercados clandestinos. «Los actores ofrecen privilegios de control de dominio completo, así como credenciales de administrador de dominio, a numerosas redes en todo el mundo», escribió la agencia. Más recientemente, el FBI identificó la participación adicional de Fox Kitten en ataques de ransomware, con el grupo iraní colaborando directamente con bandas de ransomware, incluidas NoEscape, RansomHouse y ALPHV/BlackCat, a cambio de un porcentaje de los pagos de rescate. «La participación de los actores cibernéticos iraníes en estos ataques de ransomware va más allá de brindar acceso; trabajan en estrecha colaboración con afiliados de ransomware para bloquear las redes de las víctimas y elaborar estrategias sobre enfoques para extorsionar a las víctimas», señaló el aviso. Según su investigación, el FBI cree que los actores de Fox Kitten no revelan a las bandas de ransomware quiénes son y dónde se encuentran. Campañas de ciberespionaje patrocinadas por Irán El FBI también evaluó que Fox Kitten lleva a cabo otras campañas de ciberataques no relacionadas con las que permiten el ransomware. Estas campañas tienen como objetivo robar información confidencial en nombre del gobierno iraní de objetivos en los sectores de defensa en los EE. UU., Israel, Azerbaiyán y los Emiratos Árabes Unidos. Estos objetivos generalmente no son de interés para los contactos afiliados al ransomware del grupo, señaló el aviso. Para eso, Fox Kitten aprovecha a Danesh Novin Sahan, una empresa registrada en Irán, probablemente como entidad de TI encubierta. Si bien las actividades de ransomware y el robo de datos del grupo supuestamente no están relacionadas, el FBI cree que el robo de datos actúa como un escudo, lo que permite al grupo evadir las sanciones del gobierno iraní. Antecedentes de Fox Kitten Fox Kitten es un grupo de ciberespionaje con sede en Irán activo desde al menos 2017. El grupo también es conocido por muchos otros nombres, incluidos Pioneer Kitten, Rubidium, Parasite y Lemon Sandstorm. Su actividad se alinea con un grupo de actividades de amenazas que Mandiant rastrea como UNC757. El grupo también se refiere a sí mismo como Br0k3r y, más recientemente, ha estado operando bajo el apodo «xplfinder» en sus canales de comunicación. Fox Kitten apunta a organizaciones en Medio Oriente, África del Norte, Europa, Australia y América del Norte. Históricamente, las intrusiones iniciales del grupo se basan en exploits de servicios externos remotos, como redes privadas virtuales (VPN), en activos que dan a Internet para obtener acceso inicial a las redes de las víctimas.