{"id":171,"date":"2026-03-06T12:16:39","date_gmt":"2026-03-06T12:16:39","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/06\/los-piratas-informaticos-de-muddywater-vinculados-a-iran-atacan-las-redes-estadounidenses-con-una-nueva-puerta-trasera-dindoor-cyberdefensa-mx\/"},"modified":"2026-03-06T12:16:39","modified_gmt":"2026-03-06T12:16:39","slug":"los-piratas-informaticos-de-muddywater-vinculados-a-iran-atacan-las-redes-estadounidenses-con-una-nueva-puerta-trasera-dindoor-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/06\/los-piratas-informaticos-de-muddywater-vinculados-a-iran-atacan-las-redes-estadounidenses-con-una-nueva-puerta-trasera-dindoor-cyberdefensa-mx\/","title":{"rendered":"Los piratas inform\u00e1ticos de MuddyWater vinculados a Ir\u00e1n atacan las redes estadounidenses con una nueva puerta trasera Dindoor \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una nueva investigaci\u00f3n de Symantec de Broadcom y el equipo Carbon Black Threat Hunter ha descubierto<\/a> evidencia de un grupo de pirater\u00eda iran\u00ed incrust\u00e1ndose en las redes de varias empresas estadounidenses, incluidos bancos, aeropuertos, organizaciones sin fines de lucro y la rama israel\u00ed de una empresa de software.<\/p>\n

La actividad se ha atribuido a un grupo de pirater\u00eda patrocinado por el estado llamado FangosoAgua<\/strong> (tambi\u00e9n conocido como gusano de semilla). Est\u00e1 afiliado al Ministerio iran\u00ed de Inteligencia y Seguridad (MOIS). Se estima que la campa\u00f1a comenz\u00f3 a principios de febrero, y se detect\u00f3 actividad reciente tras los ataques militares estadounidenses e israel\u00edes contra Ir\u00e1n.<\/p>\n

\u00abLa compa\u00f1\u00eda de software es proveedor de las industrias aeroespacial y de defensa, entre otras, y tiene presencia en Israel, y la operaci\u00f3n de la compa\u00f1\u00eda en Israel parece ser el objetivo de esta actividad\u00bb, dijo el proveedor de seguridad en un informe compartido con The Hacker News.<\/p>\n

Se ha descubierto que los ataques dirigidos a la empresa de software, as\u00ed como a un banco estadounidense y una organizaci\u00f3n sin fines de lucro canadiense, allanan el camino para una puerta trasera previamente desconocida denominada Dindoor, que aprovecha la Deno<\/a> Tiempo de ejecuci\u00f3n de JavaScript para su ejecuci\u00f3n. Broadcom dijo que tambi\u00e9n identific\u00f3 un intento de extraer datos de la compa\u00f1\u00eda de software utilizando la utilidad Rclone a un dep\u00f3sito de almacenamiento en la nube de Wasabi. Sin embargo, actualmente no se sabe si el esfuerzo dio sus frutos.<\/p>\n

Tambi\u00e9n se encontr\u00f3 en las redes de un aeropuerto de EE. UU. y de una organizaci\u00f3n sin fines de lucro una puerta trasera de Python separada llamada Fakeset, que se descarg\u00f3 de servidores pertenecientes a Backblaze, una empresa estadounidense de almacenamiento en la nube y copia de seguridad de datos. El certificado digital utilizado para firmar Fakeset tambi\u00e9n se ha utilizado para firmar el malware Stagecomp y Darkcomp, ambos previamente vinculados a MuddyWater.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abAunque este malware no se vio en las redes objetivo, el uso de los mismos certificados sugiere que el mismo actor, concretamente Seedworm, estaba detr\u00e1s de la actividad en las redes de las empresas estadounidenses\u00bb, dijeron Symantec y Carbon Black.<\/p>\n

\u00abLos actores de amenazas iran\u00edes se han vuelto cada vez m\u00e1s competentes en los \u00faltimos a\u00f1os. No s\u00f3lo han mejorado sus herramientas y su malware, sino que tambi\u00e9n han demostrado s\u00f3lidas capacidades de ingenier\u00eda social, incluidas campa\u00f1as de phishing y operaciones de ‘trampa de miel’ utilizadas para construir relaciones con objetivos de inter\u00e9s para obtener acceso a cuentas o informaci\u00f3n confidencial\u00bb.<\/p>\n

Los hallazgos se producen en el contexto de una escalada del conflicto militar en Ir\u00e1n, que ha desencadenado una avalancha de ciberataques en la esfera digital. Una investigaci\u00f3n reciente de Check Point ha descubierto que el grupo hacktivista propalestino conocido como Handala Hack (tambi\u00e9n conocido como Void Manticore) dirige sus operaciones a trav\u00e9s de rangos de IP de Starlink para investigar aplicaciones externas en busca de configuraciones err\u00f3neas y credenciales d\u00e9biles.<\/p>\n

En los \u00faltimos meses, m\u00faltiples Adversarios del nexo Ir\u00e1n<\/a>como Agrius (tambi\u00e9n conocido como Agonizing Serpens, Marshtreader y Pink Sandstorm), tambi\u00e9n han observado<\/a> escaneo en busca de c\u00e1maras Hikvision vulnerables y soluciones de videoportero utilizando fallas de seguridad conocidas como CVE-2017-7921 y CVE-2023-6895<\/a>.<\/p>\n

Los ataques, seg\u00fan Check Point, se han intensificado a ra\u00edz del actual conflicto en Oriente Medio. Los intentos de explotaci\u00f3n de c\u00e1maras IP han experimentado un aumento en Israel y los pa\u00edses del Golfo, incluidos los Emiratos \u00c1rabes Unidos, Qatar, Bahr\u00e9in y Kuwait, adem\u00e1s del L\u00edbano y Chipre. La actividad ha se\u00f1alado c\u00e1maras de Dahua y Hikvision, armando las dos vulnerabilidades antes mencionadas, as\u00ed como CVE-2021-36260<\/a>, CVE-2025-34067<\/a>y CVE-2021-33044<\/a>.<\/p>\n

\u00abEn conjunto, estos hallazgos son consistentes con la evaluaci\u00f3n de que Ir\u00e1n, como parte de su doctrina, aprovecha el compromiso de la c\u00e1mara para el apoyo operativo y la evaluaci\u00f3n continua de da\u00f1os de batalla (BDA) para operaciones de misiles, potencialmente en algunos casos antes de los lanzamientos de misiles\u00bb, dijo la compa\u00f1\u00eda. dicho<\/a>.<\/p>\n

\u00abComo resultado, el seguimiento de la actividad de la c\u00e1mara dirigida a infraestructuras espec\u00edficas y atribuidas puede servir como un indicador temprano de una posible actividad cin\u00e9tica de seguimiento\u00bb.<\/p>\n

La guerra de Estados Unidos e Israel con Ir\u00e1n tambi\u00e9n ha provocado un aviso del Centro Canadiense de Seguridad Cibern\u00e9tica (CCCS), que advertido<\/a> que Ir\u00e1n probablemente utilice su aparato cibern\u00e9tico para organizar ataques de represalia contra infraestructura cr\u00edtica y operaciones de informaci\u00f3n para promover los intereses del r\u00e9gimen.<\/p>\n

Algunos otros acontecimientos clave que se han desarrollado en los \u00faltimos d\u00edas se enumeran a continuaci\u00f3n:<\/p>\n