Los actores respaldados por el estado iraní que operan bajo alias como «Pioneer Kitten» apuntan cada vez más a la infraestructura crítica y expanden sus actividades para intermediar el acceso para afiliados de ransomware. Conclusiones clave Un grupo de piratas informáticos patrocinados por el estado iraní se ha convertido en intermediarios de acceso para bandas de ransomware, apuntando a sectores críticos de Estados Unidos y sus aliados, como la educación, las finanzas, la atención médica y la defensa. El FBI, CISA y DC3 han emitido un aviso conjunto que destaca la naturaleza dual de las actividades de estos actores de amenazas, que incluyen tanto la monetización del acceso a la red como la realización de espionaje alineado con los intereses del gobierno iraní. Los piratas informáticos, conocidos por nombres como «Pioneer Kitten» y «Lemon Sandstorm», son altamente adaptables, evolucionan continuamente sus métodos para explotar vulnerabilidades en dispositivos de red ampliamente utilizados y vender el control de dominio a grupos de ransomware como ALPHV (BlackCat) y NoEscape. Más allá del ransomware, el grupo ha participado en operaciones de piratería y filtración destinadas a causar daño a la reputación en lugar de asegurar un rescate, lo que indica un cambio hacia la guerra de la información. El aviso insta a las organizaciones a parchear las vulnerabilidades conocidas de inmediato, mantenerse alerta y monitorear los indicadores de compromiso, incluidas las instalaciones no autorizadas y el tráfico saliente a dominios sospechosos. Descripción general Se mueven silenciosamente a través de las redes, aprovechando cada vulnerabilidad que queda sin parchear, explotando las brechas con precisión quirúrgica. El grupo de actores de amenazas con base en Irán, activo desde al menos 2017, se ha convertido en una amenaza persistente y formidable, que apunta a organizaciones estadounidenses en sectores vitales como la educación, las finanzas, la atención médica y la defensa. Estos cibercriminales no son solo piratas informáticos aislados; operan con un nivel de sofisticación que sugiere patrocinio estatal, y sus objetivos finales son de largo alcance y profundamente preocupantes. El FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el Centro de Delitos Cibernéticos del Departamento de Defensa (DC3) han emitido una advertencia consultiva conjunta sobre estos actores con base en Irán. Sus operaciones revelan un doble propósito: monetizar el acceso a la red mediante la colaboración con afiliados de ransomware y participar en actividades de espionaje alineadas con los intereses del gobierno iraní. Se insta a las organizaciones estadounidenses, en particular a las que se dedican a infraestructuras críticas, a tomar medidas y reforzar sus defensas. Detalles técnicos El grupo de amenazas, conocido por varios nombres como «Pioneer Kitten», «Fox Kitten», «Lemon Sandstorm» y, más recientemente, «xplfinder», ha demostrado adaptabilidad en sus tácticas. Desde la explotación de vulnerabilidades en dispositivos de red ampliamente utilizados hasta la venta de privilegios de control de dominio en mercados de la web oscura, han evolucionado continuamente sus métodos para mantenerse a la vanguardia de las medidas defensivas. Su modus operandi implica no solo obtener acceso sino mantenerlo, a menudo para futuros ataques de ransomware. Ofrecen control total del dominio a grupos de ransomware como ALPHV (también conocido como BlackCat) y NoEscape, recibiendo una parte de los pagos de rescate. Estos actores no solo son guardianes de las redes comprometidas, sino participantes activos en la planificación y ejecución de campañas de ransomware. Las tácticas del grupo se extienden más allá del cibercrimen tradicional. En algunos casos, han llevado a cabo operaciones de piratería y filtración, en las que exponen públicamente información confidencial para desestabilizar y presionar a sus objetivos. La campaña Pay2Key de 2020, dirigida contra organizaciones israelíes, es un ejemplo de ello. Al filtrar datos robados en la red oscura y etiquetar a los medios de comunicación, pretendían causar daño a la reputación en lugar de conseguir un rescate, lo que indica un cambio estratégico hacia la guerra de la información. Además de Israel, Azerbaiyán y los Emiratos Árabes Unidos también han sido objetivos. Los métodos de los actores de la amenaza están mapeados meticulosamente con el marco MITRE ATT&CK, una matriz ampliamente reconocida que clasifica las tácticas y técnicas de ciberataque. Las intrusiones iniciales suelen producirse a través de activos que dan a Internet, como cortafuegos y VPN, y el grupo explota vulnerabilidades conocidas como CVE-2024-3400 en PAN-OS de Palo Alto Networks. Una vez dentro, utilizan herramientas como Shodan para identificar dispositivos vulnerables e implementar webshells para capturar credenciales, sentando las bases para una infiltración más profunda. Los TA también han dominado la persistencia mediante la implementación de puertas traseras y la creación de nuevas cuentas de usuario, a menudo haciéndose pasar por servicios legítimos. Su capacidad para evadir la detección y mantener el acceso a largo plazo los hace particularmente peligrosos, ya que pueden atacar en cualquier momento, a menudo cuando menos se espera. El aviso del FBI y la CISA proporciona una lista detallada de indicadores de compromiso (IOC) y recomendaciones para mitigar la amenaza que plantean estos actores. Se insta a las organizaciones a aplicar parches para vulnerabilidades conocidas de inmediato y revisar sus registros en busca de signos de compromiso, en particular buscando tráfico saliente a dominios sospechosos. El uso de herramientas como NGROK para la tunelización y Ligolo para mantener el acceso remoto requiere un escrutinio constante de la red para detectar actividades no autorizadas. Conclusión Las tácticas cambiantes de estos actores cibernéticos con sede en Irán resaltan la creciente complejidad y peligro de las amenazas cibernéticas en la actualidad. Las organizaciones en los EE. UU. y los países aliados no solo deben defenderse contra el ransomware, sino también estar preparadas para el espionaje patrocinado por el estado y la guerra de información. A medida que se difumina la línea entre las actividades delictivas y las de los estados nacionales, lo que está en juego para la ciberseguridad nunca ha sido tan importante. Para quienes trabajan en sectores críticos, el momento de actuar es ahora. Tácticas y técnicas de MITRE ATT&CK Consulte la Tabla 1 a la Tabla 9 para conocer todas las tácticas y técnicas de los actores de amenazas a las que se hace referencia. 1. ReconocimientoTítulo de la técnicaIDUso o uso evaluadoBuscar en bases de datos técnicas abiertasT1596Los actores cibernéticos iraníes utilizan Shodan (Shodan[.]io) para identificar dispositivos de alojamiento de infraestructura de Internet vulnerables a CVE particulares. 2. Acceso inicialTítulo de la técnicaIDUso o uso evaluadoExplotar aplicación públicaT1190Los actores cibernéticos iraníes escanean y explotan dispositivos de red públicos, incluidos los siguientes dispositivos y CVE asociados: Citrix Netscaler (CVE-2019-19781 y CVE-2023-3519) F5 BIG-IP (CVE-2022-1388) Pulse Secure/Ivanti VPN (CVE-2024-21887) Firewalls PanOS (CVE-2024-3400) Check Point Security Gateways (CVE-2024-24919)Servicios remotos externosT1133Los actores cibernéticos iraníes crean el directorio /xui/common/images/ en direcciones IP específicas. 3. PersistenciaTítulo de la técnicaIDUso o uso evaluadoComponente de software del servidor: Web ShellT1505.003Los actores cibernéticos iraníes capturan las credenciales de inicio de sesión en los dispositivos Netscaler comprometidos a través de un webshell implementado; crean un directorio en los dispositivos Netscaler para la implementación del webshell; implementan webshells en los dispositivos Netscaler comprometidos en dos directorios (observados de cerca después de la aplicación del parche propietario del sistema); y colocan la versión de puerta trasera maliciosa .dll.Crear cuenta (cuenta local)T1136.001Los actores cibernéticos iraníes crean cuentas locales en las redes de las víctimas.Manipulación de cuentasT1098Los actores cibernéticos iraníes solicitan exenciones a la aplicación de confianza cero para las herramientas que pretenden implementar.Tarea/trabajo programadoT1053Los actores cibernéticos iraníes implementan una tarea programada que utiliza una técnica de carga lateral de DLL y una tarea programada que carga malware a través de puertas traseras.Componente de software del servidorT1505Los actores cibernéticos iraníes implementan la creación diaria de una tarea de servicio de Windows para la persistencia a medida que se produce la detección y la mitigación. 4. Escalada de privilegiosTítulo de la técnicaIDUso o uso evaluadoCuentas válidas: Cuentas localesT1078.003Los actores cibernéticos iraníes reutilizan las credenciales comprometidas (por ejemplo, de un dispositivo Netscaler) para iniciar sesión en otras aplicaciones.Cuentas válidas: Cuentas de dominioT1078.002Los actores cibernéticos iraníes reutilizan las credenciales administrativas de los administradores de red para iniciar sesión en controladores de dominio y otra infraestructura. 5. Evasión de defensaTítulo de la técnicaIDUso o uso evaluadoDeteriorar las defensas: Deshabilitar o modificar herramientasT1562.001Los actores cibernéticos iraníes usan las credenciales de administrador para deshabilitar el antivirus y el software de seguridad.Deteriorar las defensas: Deshabilitar o modificar herramientasT1562.001Los actores cibernéticos iraníes intentan ingresar tickets de exención de seguridad al dispositivo de seguridad de la red o al contratista para que sus herramientas se incluyan en la lista de permitidos.Deteriorar las defensas: Ataque de degradaciónT1562.010Los actores cibernéticos iraníes reducen las políticas de PowerShell a un nivel menos seguro. 6. Acceso a credencialesTítulo de la técnicaIDUso o uso evaluadoCaptura de entradaT1056 Los cibercriminales iraníes capturan credenciales de inicio de sesión en dispositivos Netscaler comprometidos a través de un webshell implementado. 7. EjecuciónTítulo de la técnicaIDUso o uso evaluadoComando y secuencias de comandosT1059.001Los cibercriminales iraníes usan una cuenta de administrador para iniciar una sesión de escritorio remoto para iniciar Microsoft Windows PowerShell ISE.Intérprete de comandos y secuencias de comandosT1059.001Los cibercriminales iraníes permiten que los servidores usen Windows PowerShell Web Access. 8. DescubrimientoTítulo de la técnicaIDUso o uso evaluadoConsultar registroT1012Los cibercriminales iraníes exportan subárboles del registro y configuraciones de firewall de red.Descubrimiento de confianza de dominioT1482Los cibercriminales iraníes extraen nombres de usuario de cuentas del controlador de dominio y acceden a archivos de configuración y registros. 9. Comando y controlTítulo técnicoIDUso o uso evaluadoSoftware de acceso remotoT1219Los cibercriminales iraníes instalan el programa de acceso remoto “AnyDesk”. Los cibercriminales iraníes implementan Meshcentral para conectarse con servidores comprometidos para acceso remoto.Túnel de protocoloT1572Los cibercriminales iraníes usan ligolo/ligolo-ng para el túnel de código abierto y ngrok[.]io NGROK para crear conexiones salientes a un subdominio aleatorio. Indicadores de compromiso (IOC) Lista de dispositivos de red públicos explotados y CVE asociados: Citrix Netscaler (CVE-2019-19781 y CVE-2023-3519) F5 BIG-IP (CVE-2022-1388) Pulse Secure/Ivanti VPN (CVE-2024-21887) Cortafuegos PanOS (CVE-2024-3400) Check Point Security Gateways (CVE-2024-24919) Verificar la instalación no autorizada de: Programa de acceso remoto “AnyDesk” Meshcentral Herramienta de tunelización de código abierto Ligolo (ligolo/ligolo-ng) ngrok[.]io NGROK para crear conexiones salientes a un subdominio aleatorio Dirección IP e identificadores de dominio Las direcciones IP y los dominios que se enumeran a continuación fueron observados en uso por los actores de amenazas en los períodos de tiempo especificados en 2024. IOC recientesIndicadorPrimera vez vistoFecha de observación más reciente138.68.90[.]19 de enero de 2024Agosto de 2024167,99,202[.]130Enero 2024Agosto 202478.141.238[.]182Julio de 2024Agosto de 202451.16.51[.]81Enero 2024Agosto 202451.20.138[.]134Febrero 2024Agosto 2024134.209.30[.]220Marzo de 2024Agosto de 202413.53.124[.]246Febrero de 2024Agosto de 2024api.gupdate[.]netSeptiembre de 2022Agosto de 2024GithubApp[.]netFebrero de 2024Agosto de 2024 La siguiente tabla refleja las direcciones IP y los dominios históricos asociados con estos actores. IOC históricosIndicadorPrimera apariciónFecha de observación más reciente18.134.0[.]66Septiembre 2023Noviembre 2023193.149.190[.]248Septiembre 2023Enero 202445.76.65[.]42Septiembre 2023Diciembre 2023206.71.148[.]78Octubre 2023Enero 2024193.149.187[.]41Octubre de 2023Noviembre de 2023login.forticloud[.]en líneaoctubre de 2023noviembre de 2023fortigate.forticloud[.]en líneaoctubre de 2023noviembre de 2023cloud.sophos[.]1Octubre de 2023Noviembre de 2023 El FBI también enumeró las direcciones de bitcoin vinculadas a los actores de amenazas iraníes: bc1q8n7jjgdepuym825zwwftr3qpem3tnjx3m50ku0 bc1qlwd94gf5uhdpu4gynk6znc5j3rwk9s53c0dhjs bc1q2egjjzmchtm3q3h3een37zsvpph86hwgq4xskh bc1qjzw7sh3pd5msgehdaurzv04pm40hm9ajpwjqky bc1qn5tla384qxpl6zt7kd068hvl7y4a6rt684ufqp El número de modelo es bc1ql837eewad47zn0uzzjfgqjhsnf2yhkyxvxyjjc. El número de modelo es bc1qy8pnttrfmyu4l3qcy59gmllzqq66gmr446ppcr. El número de modelo es bc1q6620fmev7cvkfu82z43vwjtec6mzgcp5hjrdne. El número de modelo es bc1qx9tteqhama2x2w9vwqsyny6hldh8my8udx5jlm. El número de modelo es bc1qz75atxj4dvgezyuspw8yz9khtkuk5jpdgfauq8. bc1qsn4l6h3mhyhmr72vw4ajxf2gr74hwpalks2tp9 bc1qtjhvqkun4uxtr4qmq6s3f7j49nr4sp0wywp489 Relacionado