{"id":153,"date":"2026-03-05T12:21:34","date_gmt":"2026-03-05T12:21:34","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/05\/dust-spectre-apunta-a-funcionarios-iraquies-con-el-nuevo-malware-splitdrop-y-ghostform-cyberdefensa-mx\/"},"modified":"2026-03-05T12:21:34","modified_gmt":"2026-03-05T12:21:34","slug":"dust-spectre-apunta-a-funcionarios-iraquies-con-el-nuevo-malware-splitdrop-y-ghostform-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/05\/dust-spectre-apunta-a-funcionarios-iraquies-con-el-nuevo-malware-splitdrop-y-ghostform-cyberdefensa-mx\/","title":{"rendered":"Dust Spectre apunta a funcionarios iraqu\u00edes con el nuevo malware SPLITDROP y GHOSTFORM \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Un presunto actor de amenazas del nexo con Ir\u00e1n ha sido atribuido a una campa\u00f1a dirigida a funcionarios gubernamentales en Irak haci\u00e9ndose pasar por el Ministerio de Asuntos Exteriores del pa\u00eds para entregar un conjunto de malware nunca antes visto.<\/p>\n

Zscaler ThreatLabz, que observ\u00f3 la actividad en enero de 2026, est\u00e1 rastreando el cl\u00faster con el nombre Espectro de polvo<\/strong>. Los ataques, que se manifiestan en forma de dos cadenas de infecci\u00f3n diferentes, culminan con la implementaci\u00f3n de malware denominado SPLITDROP, TWINTASK, TWINTALK y GHOSTFORM.<\/p>\n

\u00abDust Spectre utiliz\u00f3 rutas URI generadas aleatoriamente para la comunicaci\u00f3n de comando y control (C2) con valores de suma de verificaci\u00f3n adjuntos a las rutas URI para garantizar que estas solicitudes se originaran en un sistema infectado real\u00bb, dijo el investigador de seguridad Sudeep Singh. dicho<\/a>. \u00abEl servidor C2 tambi\u00e9n utiliz\u00f3 t\u00e9cnicas de geocercado y verificaci\u00f3n de usuario-agente\u00bb.<\/p>\n

Un aspecto notable de la campa\u00f1a es el compromiso de la infraestructura relacionada con el gobierno iraqu\u00ed para organizar cargas maliciosas, sin mencionar el uso de t\u00e9cnicas de evasi\u00f3n para retrasar la ejecuci\u00f3n y pasar desapercibidas.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La primera secuencia de ataque comienza con un archivo RAR protegido con contrase\u00f1a, dentro del cual existe un gotero .NET llamado SPLITDROP, que act\u00faa como conducto para TWINTASK, un m\u00f3dulo de trabajo, y TWINTALK, un orquestador C2.<\/p>\n

TWINTASK, por su parte, es una DLL maliciosa (\u00ablibvlc.dll\u00bb) que el binario leg\u00edtimo \u00abvlc.exe\u00bb descarga para sondear peri\u00f3dicamente un archivo (\u00abC:\\ProgramData\\PolGuid\\in.txt\u00bb) cada 15 segundos en busca de nuevos comandos y ejecutarlos usando PowerShell. Esto tambi\u00e9n incluye comandos para establecer persistencia en el host mediante cambios en el Registro de Windows. La salida del script y los errores se capturan en un archivo de texto separado (\u00abC:\\ProgramData\\PolGuid\\out.txt\u00bb).<\/p>\n

TWINTASK, en el primer inicio, est\u00e1 dise\u00f1ado para ejecutar otro binario leg\u00edtimo presente en el archivo extra\u00eddo (\u00abWingetUI.exe\u00bb), lo que provoca que descargue la DLL TWINTALK (\u00abhostfxr.dll\u00bb). Su objetivo principal es comunicarse con el servidor C2 para obtener nuevos comandos, coordinar tareas con TWINTASK y filtrar los resultados al servidor. Admite la capacidad de escribir el cuerpo del comando desde la respuesta C2 a \u00abin.txt\u00bb, as\u00ed como descargar y cargar archivos.<\/p>\n

\u00abEl orquestador C2 trabaja en paralelo con el m\u00f3dulo de trabajo descrito anteriormente para implementar un mecanismo de sondeo basado en archivos utilizado para la ejecuci\u00f3n de c\u00f3digo\u00bb, dijo Singh. \u00abTras la ejecuci\u00f3n, TWINTALK ingresa a un bucle de baliza y retrasa la ejecuci\u00f3n en un intervalo aleatorio antes de sondear el servidor C2 en busca de nuevos comandos\u00bb.<\/p>\n

La segunda cadena de ataque representa una evoluci\u00f3n de la primera, consolidando toda la funcionalidad de TWINTASK y TWINTALK en un \u00fanico binario denominado GHOSTFORM. Utiliza la ejecuci\u00f3n de scripts de PowerShell en memoria para ejecutar comandos recuperados del servidor C2, eliminando as\u00ed la necesidad de escribir artefactos en el disco.<\/p>\n

Ese no es el \u00fanico factor diferenciador entre las dos cadenas de ataque. Se ha descubierto que algunos archivos binarios de GHOSTFORM incorporan una URL de Google Forms codificada que se inicia autom\u00e1ticamente en el navegador web predeterminado del sistema una vez que el malware comienza a ejecutarse. El formulario presenta contenido escrito en \u00e1rabe y se hace pasar por una encuesta oficial del Ministerio de Asuntos Exteriores de Irak.<\/p>\n

El an\u00e1lisis de Zscaler del c\u00f3digo fuente de TWINTALK y GHOSTFORM tambi\u00e9n descubri\u00f3 la presencia de valores de marcador de posici\u00f3n, emojis y texto Unicode, lo que sugiere que se pueden haber utilizado herramientas de inteligencia artificial (IA) generativa para ayudar con el desarrollo del malware.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Adem\u00e1s, el dominio C2 asociado a TWINTALK, \u00abmeetingapp[.]site\u00bb, se dice que fue utilizado por los actores de Dust Spectre en una campa\u00f1a de julio de 2025 para albergar una p\u00e1gina falsa de invitaci\u00f3n a una reuni\u00f3n de Cisco Webex que indica a los usuarios que copien, peguen y ejecuten un script de PowerShell para unirse a la reuni\u00f3n. Las instrucciones reflejan una t\u00e1ctica ampliamente vista en los ataques de ingenier\u00eda social estilo ClickFix.<\/p>\n

El script de PowerShell, por su parte, crea un directorio en el host e intenta recuperar una carga \u00fatil no especificada del mismo dominio y guardarla como un ejecutable dentro del directorio reci\u00e9n creado. Tambi\u00e9n crea una tarea programada para ejecutar el binario malicioso cada dos horas.<\/p>\n

Las conexiones de Dust Spectre con Ir\u00e1n se basan en el hecho de que los grupos de hackers iran\u00edes tienen un historial de desarrollo de puertas traseras .NET ligeras y personalizadas para lograr sus objetivos. El uso de infraestructura gubernamental iraqu\u00ed comprometida se ha observado en campa\u00f1as pasadas vinculadas a actores de amenazas como OilRig (tambi\u00e9n conocido como APT34).<\/p>\n

\u00abEsta campa\u00f1a, atribuida con un nivel de confianza medio a alto a Dust Spectre, probablemente se dirigi\u00f3 a funcionarios gubernamentales que utilizaban se\u00f1uelos convincentes de ingenier\u00eda social que se hac\u00edan pasar por el Ministerio de Asuntos Exteriores de Irak\u00bb, dijo Zscaler. \u00abLa actividad tambi\u00e9n refleja tendencias m\u00e1s amplias, incluidas t\u00e9cnicas de estilo ClickFix y el creciente uso de IA generativa para el desarrollo de malware\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Un presunto actor de amenazas del nexo con Ir\u00e1n ha sido atribuido a una campa\u00f1a dirigida a funcionarios gubernamentales en Irak haci\u00e9ndose pasar por el Ministerio de Asuntos Exteriores del pa\u00eds para entregar un conjunto de malware nunca antes visto. Zscaler ThreatLabz, que observ\u00f3 la actividad en enero de 2026, est\u00e1 rastreando el cl\u00faster con […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[27,31,24,471,473,476,474,60,169,472,475],"class_list":["post-153","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-apunta","tag-con","tag-cyberdefensa-mx","tag-dust","tag-funcionarios","tag-ghostform","tag-iraquies","tag-malware","tag-nuevo","tag-spectre","tag-splitdrop"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/153","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=153"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/153\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}