Los piratas informáticos iraníes probablemente comenzaron una campaña de ciber espionaje solo una semana después del inicio del conflicto de Israel-Irán en junio. En un nuevo informe publicado el 21 de julio, la firma de ciberseguridad Basteout compartió hallazgos sobre cuatro nuevas muestras de DCHSPY, una herramienta de vigilancia de Android aprovechada por el grupo iraní de ciber espionaje Muddywater. La nueva campaña parece aprovechar los señuelos centrados en Starlink, el servicio satelital de Internet propiedad del SpaceX de Elon Musk, para implementar las nuevas versiones DCHSPY. Starlink ofreció acceso a Internet a los iraníes durante la interrupción de Internet impuesta en julio como resultado de la creciente hostilidades entre Irán e Israel. Antecedentes sobre DCHSPY, una variante de sandstrike DCHSPY es una familia de vigilancia de Android que ha estado activa desde al menos 2024. Comparte infraestructura con otro malware de Android conocido como sandstrike, una vigilancia de Android informada por primera vez por Kaspersky en 2022 practicantes de apuntando a los practicantes de la fe de Baháʼí, una religión practicada en Iran y partes de la Medio Oriente. Al igual que Sandstrike, DCHSPY es probablemente desarrollado y mantenido por Muddywater, un grupo de amenaza persistente avanzada (APT) que se cree que está afiliada al Ministerio de Inteligencia y Seguridad de Irán. DCHSPY generalmente usa señuelos y disfraces políticos como aplicaciones legítimas, como VPN o aplicaciones bancarias. DCHSPY, Versión 2025: Nuevas señuelos, nuevas capacidades, mientras que las muestras de DCHSPY anteriores aprovecharon una solución VPN aparentemente legítima llamada HideVPN, las cuatro nuevas muestras de DCHSPY identificadas por Lookout esgumentaran dos nuevas aplicaciones VPN, EarthVPN y ComodovPN. El primero afirma ser una solución VPN con sede en Rumania y la segunda ubicada en Canadá. La página de distribución de ComodovPN maliciosa de junio de 2025, que está notablemente dirigida a activistas y periodistas a nivel mundial. Fuente: Lookout estas tres aplicaciones, así como una aplicación llamada ‘Hazrat Eshq’, se anuncian en varios canales de telegrama a los altavoces ingleses y farsi, utilizando temas y lenguaje anti-Irán. Muestras de DCHSPY adquiridas por Lookout. Fuente: Lookoutone de las muestras de VPN de la Tierra se cargó con un nombre de archivo Android Package (APK) que incluía una referencia a StarLink. Enumeran direcciones y números de contacto pertenecientes a empresas aleatorias en esos respectivos países. «Esto puede indicar que las muestras de DCHSPY VPN también se están propagando con señuelos de Starlink, especialmente dados informes recientes de Starlink que ofrecen servicios de Internet a la población iraní durante la interrupción de Internet impuestas por el gobierno iraní después de las hostilidades entre Israel e Irán», dijo el informe de Lookout. Una vez implementado, las nuevas muestras de DCHSPY recopilan una gama más amplia de información en el dispositivo de destino que las muestras anteriores. Estos incluyen: las cuentas iniciadas sesión en el dispositivo contactos a los archivos de mensajes SMS almacenados en la ubicación del dispositivo registros de llamadas de datos WhatsApp Audio tomando el control de las fotos de micrófonos tomando el control de la cámara «Estas muestras más recientes de DCHSPY indican el desarrollo y el uso continuo de la vigilancia como la situación en el Medio Oriente evoluciona, especialmente a medida que Iran se atribuye a sus ciudadanos después de la cesa a los cimientos con ISRAEL», «,», dicen la situación en la situación en el informe de la situación en el Medio Oriente. 17 cepas móviles de malware identificadas, vinculadas a 10 grupos de APT iraníes La firma de seguridad cibernética móvil ha identificado 17 familias de malware móvil que al menos 10 APT iraníes han estado utilizando en ataques de vigilancia contra usuarios de teléfonos móviles. Estos incluyen Sandstrike y DCHSP, así como Bouldspy, que fue utilizado por el Comando de Aplicación de la Ley de la República Islámica de Irán en 2023, y Guardzoo, vinculado a los Houthis con sede en Yemen, que están alineados con el régimen iraní. Lookout también ha observado a los grupos APT iraníes aprovechando el spyware de los productos básicos, como Metasploit, Androrat, Ahmyth y Spymax, para desplegar campañas de espionaje cibernético.