Las agencias de inteligencia y ciberseguridad de Estados Unidos han denunciado a un grupo de piratas informáticos iraní por haber violado varias organizaciones en todo el país y coordinarse con afiliados para distribuir ransomware. La actividad se ha vinculado a un actor de amenazas denominado Pioneer Kitten, que también se conoce como Fox Kitten, Lemon Sandstorm (anteriormente Rubidium), Parisite y UNC757, al que describió como conectado con el gobierno de Irán y que utiliza una empresa iraní de tecnología de la información (TI), Danesh Novin Sahand, probablemente como tapadera. «Sus operaciones cibernéticas maliciosas tienen como objetivo implementar ataques de ransomware para obtener y desarrollar acceso a la red», dijeron la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Centro de Delitos Cibernéticos del Departamento de Defensa (DC3). «Estas operaciones ayudan a los actores cibernéticos maliciosos a seguir colaborando con actores afiliados para seguir implementando ransomware». Los objetivos de los ataques incluyen los sectores de la educación, las finanzas, la atención médica y la defensa, así como entidades gubernamentales locales en los EE. UU., y también se han reportado intrusiones en Israel, Azerbaiyán y los Emiratos Árabes Unidos (EAU) para robar datos confidenciales. El objetivo, evaluaron las agencias, es obtener un punto de apoyo inicial en las redes de víctimas y luego colaborar con actores afiliados de ransomware asociados con NoEscape, RansomHouse y BlackCat (también conocido como ALPHV) para implementar malware de cifrado de archivos a cambio de una parte de las ganancias ilícitas, mientras que mantienen su nacionalidad y origen «intencionadamente vagos». Se cree que los intentos de ataque comenzaron ya en 2017 y continúan hasta este mes. Se ha descubierto que los actores de amenazas, que también usan los apodos en línea Br0k3r y xplfinder, monetizan su acceso a las organizaciones de víctimas en mercados clandestinos, lo que subraya los intentos de diversificar sus flujos de ingresos. «Un porcentaje significativo de la actividad cibernética del grupo centrada en Estados Unidos tiene como objetivo obtener y mantener el acceso técnico a las redes de las víctimas para permitir futuros ataques de ransomware», señalaron las agencias. «Los actores ofrecen privilegios de control de dominio completo, así como credenciales de administrador de dominio, a numerosas redes en todo el mundo». «La participación de los actores cibernéticos iraníes en estos ataques de ransomware va más allá de proporcionar acceso; trabajan en estrecha colaboración con afiliados de ransomware para bloquear las redes de las víctimas y elaborar estrategias sobre enfoques para extorsionar a las víctimas». El acceso inicial se logra aprovechando los servicios externos remotos en activos que dan a Internet que son vulnerables a fallas previamente reveladas (CVE-2019-19781, CVE-2022-1388, CVE-2023-3519, CVE-2024-3400 y CVE-2024-24919), seguido de una serie de pasos para persistir, escalar privilegios y configurar el acceso remoto a través de herramientas como AnyDesk o la herramienta de tunelización de código abierto Ligolo. Las operaciones de ransomware patrocinadas por el Estado iraní no son un fenómeno nuevo. En diciembre de 2020, las empresas de ciberseguridad Check Point y ClearSky describieron una campaña de piratería y filtración de Pioneer Kitten llamada Pay2Key que específicamente señaló a docenas de empresas israelíes explotando vulnerabilidades de seguridad conocidas. «El rescate en sí oscilaba entre siete y nueve bitcoins (con algunos casos en los que el atacante fue negociado hasta tres bitcoins)», señaló la empresa en ese momento. «Para presionar a las víctimas para que paguen, el sitio de filtración de Pay2Key muestra información confidencial robada a las organizaciones objetivo y amenaza con más filtraciones si las víctimas continúan retrasando los pagos». También se dice que algunos de los ataques de ransomware se llevaron a cabo a través de una empresa contratista iraní llamada Emennet Pasargad, según documentos filtrados por Lab Dookhtegan a principios de 2021. La revelación pinta la imagen de un grupo flexible que opera con motivos tanto de ransomware como de ciberespionaje, uniéndose a otros grupos de piratería de doble propósito como ChamelGang y Moonstone Sleet. Peach Sandstorm distribuye malware Tickler en una campaña de larga duración El desarrollo se produce después de que Microsoft dijera que observó al actor de amenazas patrocinado por el estado iraní Peach Sandstorm (también conocido como APT33, Curious Serpens, Elfin y Refined Kitten) implementando una nueva puerta trasera personalizada de múltiples etapas conocida como Tickler en ataques contra objetivos en los sectores de satélites, equipos de comunicaciones, petróleo y gas, así como gobiernos federales y estatales en los EE. UU. y los Emiratos Árabes Unidos entre abril y julio de 2024. «Peach Sandstorm también continuó realizando ataques de rociado de contraseñas contra el sector educativo para la adquisición de infraestructura y contra los sectores de satélites, gobierno y defensa como objetivos principales para la recopilación de inteligencia», dijo el gigante tecnológico, y agregó que detectó recopilación de inteligencia y posible ingeniería social dirigida a la educación superior, los satélites y los sectores de defensa a través de LinkedIn. Estos esfuerzos en la plataforma de redes profesionales, que se remontan al menos a noviembre de 2021 y han continuado hasta mediados de 2024, se materializaron en forma de perfiles falsos que se hacían pasar por estudiantes, desarrolladores y gerentes de adquisición de talentos supuestamente radicados en EE. UU. y Europa Occidental. Los ataques de rociado de contraseñas sirven como conducto para la puerta trasera multietapa personalizada Tickler, que viene con capacidades para descargar cargas útiles adicionales desde una infraestructura de Microsoft Azure controlada por el adversario, realizar operaciones de archivos y recopilar información del sistema. Algunos de los ataques son notables por aprovechar las instantáneas de Active Directory (AD) para acciones administrativas maliciosas, Server Message Block (SMB) para el movimiento lateral y el software de administración y monitoreo remoto (RMM) AnyDesk para el acceso remoto persistente. «La conveniencia y utilidad de una herramienta como AnyDesk se amplifica por el hecho de que podría ser permitida por los controles de la aplicación en entornos donde es utilizada legítimamente por el personal de soporte de TI o los administradores de sistemas», dijo Microsoft. Se estima que Peach Sandstorm opera en nombre del Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI). Se sabe que está activo durante más de una década, llevando a cabo ataques de espionaje contra una amplia gama de objetivos del sector público y privado a nivel mundial. Las intrusiones recientes dirigidas al sector de defensa también han implementado otra puerta trasera llamada FalseFont. Operación de contrainteligencia iraní utiliza señuelos de RR.HH. para recolectar información En lo que es evidencia de operaciones iraníes en constante expansión en el ciberespacio, Mandiant, propiedad de Google, dijo que descubrió una supuesta operación de contrainteligencia con nexo con Irán que tiene como objetivo recopilar datos sobre iraníes y amenazas domésticas que pueden estar colaborando con sus supuestos adversarios, incluido Israel. «Los datos recopilados pueden aprovecharse para descubrir operaciones de inteligencia humana (HUMINT) realizadas contra Irán y para perseguir a cualquier iraní sospechoso de estar involucrado en estas operaciones», dijeron los investigadores de Mandiant Ofir Rozmann, Asli Koksal y Sarah Bock. «Estos pueden incluir disidentes iraníes, activistas, defensores de los derechos humanos y hablantes de farsi que viven dentro y fuera de Irán». La actividad, dijo la compañía, comparte una «superposición débil» con APT42 y se alinea con el historial del CGRI de realizar operaciones de vigilancia contra amenazas domésticas e individuos de interés para el gobierno iraní. La campaña ha estado activa desde 2022. La columna vertebral del ciclo de vida del ataque es una red de más de 40 sitios web de contratación falsos que se hacen pasar por empresas de recursos humanos israelíes y que luego se difunden a través de canales de redes sociales como X y Virasty para engañar a las posibles víctimas para que compartan su información personal (es decir, nombre, fecha de nacimiento, correo electrónico, dirección de domicilio, educación y experiencia profesional). Estos sitios web señuelo, que se hacen pasar por Optima HR y Kandovan HR, afirman que su supuesto propósito es «reclutar empleados y funcionarios de las organizaciones de inteligencia y seguridad de Irán» y tienen cuentas de Telegram que hacen referencia a Israel (IL) en sus cuentas (por ejemplo, PhantomIL13 y getDmIL). Mandian dijo además que un análisis más profundo de los sitios web de Optima HR condujo al descubrimiento de un grupo anterior de sitios web de contratación falsos que apuntaban a hablantes de farsi y árabe afiliados a Siria y Líbano (Hezbollah) bajo una empresa de recursos humanos diferente llamada VIP Human Solutions entre 2018 y 2022. «La campaña lanza una amplia red al operar en múltiples plataformas de redes sociales para difundir su red de sitios web de recursos humanos falsos en un intento de exponer a personas de habla farsi que pueden estar trabajando con agencias de inteligencia y seguridad y, por lo tanto, son percibidas como una amenaza para el régimen de Irán», dijo Mandiant. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.