Un actor de amenazas persistentes avanzadas (APT) vinculado a China ha estado apuntando a infraestructuras de telecomunicaciones críticas en América del Sur desde 2024, apuntando a sistemas Windows y Linux y dispositivos de borde con tres implantes diferentes.

La actividad está siendo rastreado por Cisco Talos bajo el apodo UAT-9244describiéndolo como estrechamente asociado con otro grupo conocido como FamousSparrow.

Vale la pena señalar que se considera que FamousSparrow comparte superposiciones tácticas con Salt Typhoon, un grupo de espionaje del nexo con China conocido por apuntar a proveedores de servicios de telecomunicaciones. A pesar de la huella similar entre UAT-9244 y Salt Typhoon, no hay evidencia concluyente que vincule a los dos grupos.

En la campaña analizada por la empresa de ciberseguridad, se descubrió que las cadenas de ataque distribuyen tres implantes previamente no documentados: TernDoor dirigido a Windows, PeerTime (también conocido como Angrypeer) dirigido a Linux y BruteEntry, que se instala en dispositivos de borde de red.

Se desconoce el método de acceso inicial exacto utilizado en los ataques, aunque el adversario se ha dirigido previamente a sistemas que ejecutan versiones obsoletas de Windows Server y Microsoft Exchange Server para lanzar shells web para actividades posteriores.

TernDoor se implementa mediante carga lateral de DLL, aprovechando el ejecutable legítimo «wsprint.exe» para iniciar una DLL maliciosa («BugSplatRc64.dll») que descifra y ejecuta la carga útil final en la memoria. Se dice que UAT-9244 ha utilizado la puerta trasera, una variante de Crowdoor (en sí misma una variante de SparrowDoor), desde al menos noviembre de 2024.

Establece persistencia en el host mediante una tarea programada o la clave Ejecutar registro. También presenta diferencias con CrowDoor al utilizar un conjunto dispar de códigos de comando e incorporar un controlador de Windows para suspender, reanudar y finalizar procesos. Además, solo admite un modificador de línea de comandos («-u») para desinstalarse del host y eliminar todos los artefactos asociados.

Una vez iniciado, ejecuta una verificación para asegurarse de que se haya inyectado en «msiexec.exe», después de lo cual decodifica una configuración para extraer los parámetros de comando y control (C2). Posteriormente, establece comunicación con el servidor C2, lo que le permite crear procesos, ejecutar comandos arbitrarios, leer/escribir archivos, recopilar información del sistema e implementar el controlador para ocultar componentes maliciosos y administrar procesos.

Un análisis más detallado de la infraestructura del UAT-9244 ha llevado al descubrimiento de una puerta trasera de igual a igual (P2P) de Linux denominada PeerTime, que está compilada para varias arquitecturas (es decir, ARM, AARCH, PPC y MIPS) para infectar una variedad de sistemas integrados. La puerta trasera ELF, junto con un binario de instrumento, se implementa mediante un script de shell.

«El binario Instrumentor ELF comprobará la presencia de Docker en el host comprometido utilizando los comandos docker y docker –q», dijeron los investigadores de Talos Asheer Malhotra y Brandon White. «Si se encuentra Docker, se ejecuta el cargador PeerTime. El instrumento consta de cadenas de depuración en chino simplificado, lo que indica que es un binario personalizado creado e implementado por actores de amenazas de habla china».

El objetivo principal del cargador es descifrar y descomprimir la carga útil final de PeerTime y ejecutarla directamente en la memoria. PeerTime viene en dos versiones: una versión escrita en C/C++ y una variante más nueva programada en Rust. Además de tener la capacidad de cambiarse el nombre a sí mismo como un proceso inofensivo para eludir la detección, la puerta trasera emplea el protocolo BitTorrent para obtener información C2, descargar archivos de sus pares y ejecutarlos en el sistema comprometido.

También se encuentran en los servidores del actor de amenazas un conjunto de scripts de shell y cargas útiles, incluido un escáner de fuerza bruta con nombre en código BruteEntry que se instala en dispositivos perimetrales para convertirlos en nodos proxy de escaneo masivo dentro de una Operational Relay Box (ORB) capaz de forzar servidores Postgres, SSH y Tomcat por fuerza bruta.

Esto se logra mediante un script de shell que coloca dos componentes basados ​​en Golang: un orquestador que entrega BruteEntry, que luego contacta a un servidor C2 para obtener la lista de direcciones IP a las que se dirigirán los ataques de fuerza bruta. En última instancia, la puerta trasera informa los inicios de sesión exitosos al servidor C2.

«El ‘éxito’ indica si la fuerza bruta tuvo éxito (verdadero o falso), y las ‘notas’ proporcionan información específica sobre si la fuerza bruta tuvo éxito», dijo Talos. «Si el inicio de sesión falló, la nota dice ‘Se intentaron todas las credenciales’».

Una nueva investigación de Symantec de Broadcom y el equipo Carbon Black Threat Hunter ha descubierto evidencia de un grupo de piratería iraní incrustándose en las redes de varias empresas estadounidenses, incluidos bancos, aeropuertos, organizaciones sin fines de lucro y la rama israelí de una empresa de software.

La actividad se ha atribuido a un grupo de piratería patrocinado por el estado llamado FangosoAgua (también conocido como gusano de semilla). Está afiliado al Ministerio iraní de Inteligencia y Seguridad (MOIS). Se estima que la campaña comenzó a principios de febrero, y se detectó actividad reciente tras los ataques militares estadounidenses e israelíes contra Irán.

«La compañía de software es proveedor de las industrias aeroespacial y de defensa, entre otras, y tiene presencia en Israel, y la operación de la compañía en Israel parece ser el objetivo de esta actividad», dijo el proveedor de seguridad en un informe compartido con The Hacker News.

Se ha descubierto que los ataques dirigidos a la empresa de software, así como a un banco estadounidense y una organización sin fines de lucro canadiense, allanan el camino para una puerta trasera previamente desconocida denominada Dindoor, que aprovecha la Deno Tiempo de ejecución de JavaScript para su ejecución. Broadcom dijo que también identificó un intento de extraer datos de la compañía de software utilizando la utilidad Rclone a un depósito de almacenamiento en la nube de Wasabi. Sin embargo, actualmente no se sabe si el esfuerzo dio sus frutos.

También se encontró en las redes de un aeropuerto de EE. UU. y de una organización sin fines de lucro una puerta trasera de Python separada llamada Fakeset, que se descargó de servidores pertenecientes a Backblaze, una empresa estadounidense de almacenamiento en la nube y copia de seguridad de datos. El certificado digital utilizado para firmar Fakeset también se ha utilizado para firmar el malware Stagecomp y Darkcomp, ambos previamente vinculados a MuddyWater.

«Aunque este malware no se vio en las redes objetivo, el uso de los mismos certificados sugiere que el mismo actor, concretamente Seedworm, estaba detrás de la actividad en las redes de las empresas estadounidenses», dijeron Symantec y Carbon Black.

«Los actores de amenazas iraníes se han vuelto cada vez más competentes en los últimos años. No sólo han mejorado sus herramientas y su malware, sino que también han demostrado sólidas capacidades de ingeniería social, incluidas campañas de phishing y operaciones de ‘trampa de miel’ utilizadas para construir relaciones con objetivos de interés para obtener acceso a cuentas o información confidencial».

Los hallazgos se producen en el contexto de una escalada del conflicto militar en Irán, que ha desencadenado una avalancha de ciberataques en la esfera digital. Una investigación reciente de Check Point ha descubierto que el grupo hacktivista propalestino conocido como Handala Hack (también conocido como Void Manticore) dirige sus operaciones a través de rangos de IP de Starlink para investigar aplicaciones externas en busca de configuraciones erróneas y credenciales débiles.

En los últimos meses, múltiples Adversarios del nexo Iráncomo Agrius (también conocido como Agonizing Serpens, Marshtreader y Pink Sandstorm), también han observado escaneo en busca de cámaras Hikvision vulnerables y soluciones de videoportero utilizando fallas de seguridad conocidas como CVE-2017-7921 y CVE-2023-6895.

Los ataques, según Check Point, se han intensificado a raíz del actual conflicto en Oriente Medio. Los intentos de explotación de cámaras IP han experimentado un aumento en Israel y los países del Golfo, incluidos los Emiratos Árabes Unidos, Qatar, Bahréin y Kuwait, además del Líbano y Chipre. La actividad ha señalado cámaras de Dahua y Hikvision, armando las dos vulnerabilidades antes mencionadas, así como CVE-2021-36260, CVE-2025-34067y CVE-2021-33044.

«En conjunto, estos hallazgos son consistentes con la evaluación de que Irán, como parte de su doctrina, aprovecha el compromiso de la cámara para el apoyo operativo y la evaluación continua de daños de batalla (BDA) para operaciones de misiles, potencialmente en algunos casos antes de los lanzamientos de misiles», dijo la compañía. dicho.

«Como resultado, el seguimiento de la actividad de la cámara dirigida a infraestructuras específicas y atribuidas puede servir como un indicador temprano de una posible actividad cinética de seguimiento».

La guerra de Estados Unidos e Israel con Irán también ha provocado un aviso del Centro Canadiense de Seguridad Cibernética (CCCS), que advertido que Irán probablemente utilice su aparato cibernético para organizar ataques de represalia contra infraestructura crítica y operaciones de información para promover los intereses del régimen.

Algunos otros acontecimientos clave que se han desarrollado en los últimos días se enumeran a continuación:

• agencias de inteligencia israelíes pirateado en la extensa red de cámaras de tráfico de Teherán durante años para monitorear los movimientos de los guardaespaldas del Ayatollah Ali Khamenei y otros altos funcionarios iraníes en el período previo al asesinato del líder supremo la semana pasada, informó el Financial Times. reportado.
• El Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI) atacó el centro de datos de Amazon en Bahréin por el apoyo de la compañía a las «actividades militares y de inteligencia del enemigo», informó el medio estatal Fars News Agency. dicho en Telegrama.
• Se dice que se están llevando a cabo campañas activas de limpieza contra los sectores energético, financiero, gubernamental y de servicios públicos de Israel. «El arsenal de limpiaparabrisas de Irán incluye más de 15 familias (ZeroCleare, Meteor, Dustman, DEADWOOD, Apostle, BFG Agonizer, MultiLayer, PartialWasher y otras)», Anomali dicho.
• Los grupos APT patrocinados por el estado iraní como MuddyWater, Charming Kitten, OilRig, Elfin y Fox Kitten «demostraron signos claros de activación y rápida reestructuración, posicionándose para operaciones de represalia en medio de la escalada del conflicto», LevelBlue dichoy agregó que «la cibernética representa una de las herramientas asimétricas más accesibles de Irán para tomar represalias contra los estados del Golfo que condenaron sus ataques y apoyaron las operaciones estadounidenses».
• Según Flashpoint, una campaña cibernética masiva #OpIsrael que involucra a actores prorrusos y proiraníes se ha dirigido a los sistemas de control industrial (ICS) y portales gubernamentales israelíes en Kuwait, Jordania y Bahréin. La campaña está impulsada por NoName057(16), Handala Hack, Fatemiyoun Electronic Team y Cyber ​​Islamic Resistance (también conocido como 313 Team).
• Entre el 28 de febrero de 2026 y el 2 de marzo de 2026, el grupo hacktivista prorruso Z-Pentest se atribuyó la responsabilidad de comprometer varias entidades con sede en Estados Unidos, incluidos sistemas ICS y SCADA y múltiples redes de CCTV. «El momento de estas afirmaciones no verificadas, que coinciden con la Operación Epic Fury, sugiere que Z-Pentest probablemente comenzó a priorizar entidades estadounidenses como objetivos», dijo a The Hacker News Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike.

«La capacidad cibernética ofensiva de Irán ha madurado hasta convertirse en un instrumento duradero de poder estatal utilizado para apoyar la recopilación de inteligencia, la influencia regional y la señalización estratégica durante períodos de tensión geopolítica», UltraViolet Cyber dicho. «Una característica definitoria de la actual doctrina cibernética de Irán es su énfasis en la identidad y los aviones de control de la nube como principal superficie de ataque».

«En lugar de priorizar la explotación de día cero o malware altamente novedoso a escala, los operadores iraníes tienden a centrarse en técnicas de acceso repetibles como el robo de credenciales, la pulverización de contraseñas y la ingeniería social, seguidas de la persistencia a través de servicios empresariales ampliamente implementados».

Se recomienda a las organizaciones que refuercen su postura de ciberseguridad, fortalezcan las capacidades de monitoreo, limiten la exposición a Internet, deshabiliten el acceso remoto a los sistemas de tecnología operativa (OT), apliquen la autenticación multifactor (MFA) resistente al phishing, implementen la segmentación de la red, realicen copias de seguridad fuera de línea y garanticen que todas las aplicaciones conectadas a Internet, puertas de enlace VPN y dispositivos perimetrales estén actualizados.

«Las organizaciones occidentales deben continuar en alerta máxima ante una posible respuesta cibernética a medida que el conflicto continúa y la actividad puede ir más allá del hacktivismo y convertirse en operaciones destructivas», dijo Meyers.