{"id":494,"date":"2026-04-08T06:10:10","date_gmt":"2026-04-08T06:10:10","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/08\/hackers-vinculados-a-iran-alteran-la-infraestructura-critica-de-ee-uu-atacando-plc-expuestos-a-internet-cyberdefensa-mx\/"},"modified":"2026-04-08T06:10:10","modified_gmt":"2026-04-08T06:10:10","slug":"hackers-vinculados-a-iran-alteran-la-infraestructura-critica-de-ee-uu-atacando-plc-expuestos-a-internet-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/08\/hackers-vinculados-a-iran-alteran-la-infraestructura-critica-de-ee-uu-atacando-plc-expuestos-a-internet-cyberdefensa-mx\/","title":{"rendered":"Hackers vinculados a Ir\u00e1n alteran la infraestructura cr\u00edtica de EE. UU. atacando PLC expuestos a Internet \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los actores cibern\u00e9ticos afiliados a Ir\u00e1n est\u00e1n apuntando a dispositivos de tecnolog\u00eda operativa (OT) conectados a Internet en infraestructuras cr\u00edticas en los EE. UU., incluidos controladores l\u00f3gicos programables (PLC), agencias de inteligencia y ciberseguridad. prevenido<\/a> Martes.<\/p>\n

\u00abEstos ataques han provocado una disminuci\u00f3n de la funcionalidad del PLC, manipulaci\u00f3n de los datos de visualizaci\u00f3n y, en algunos casos, interrupciones operativas y p\u00e9rdidas financieras\u00bb, dijo la Oficina Federal de Investigaciones de EE. UU. (FBI) dicho<\/a> en una publicaci\u00f3n en X.<\/p>\n

Las agencias dijeron que la campa\u00f1a es parte de una reciente escalada de ataques cibern\u00e9ticos orquestados por grupos de hackers iran\u00edes contra organizaciones estadounidenses en respuesta al conflicto en curso entre Ir\u00e1n, Estados Unidos e Israel.<\/p>\n

Espec\u00edficamente, la actividad ha provocado interrupciones de PLC en varios sectores de infraestructura cr\u00edtica de EE. UU. a trav\u00e9s de lo que las agencias autoras describieron como interacciones maliciosas con el archivo del proyecto y manipulaci\u00f3n de datos en la interfaz hombre-m\u00e1quina (HMI) y en las pantallas de control de supervisi\u00f3n y adquisici\u00f3n de datos (SCADA).<\/p>\n

Estos ataques han se\u00f1alado a Rockwell Automation y Allen-Bradley PLC desplegados en servicios e instalaciones gubernamentales, sistemas de agua y aguas residuales (WWS) y sectores de energ\u00eda.<\/p>\n

\u00abLos actores utilizaron infraestructura alojada por terceros alquilada con software de configuraci\u00f3n, como el software Studio 5000 Logix Designer de Rockwell Automation, para crear una conexi\u00f3n aceptada con el PLC de la v\u00edctima\u00bb, dec\u00eda el aviso. \u00abLos dispositivos objetivo incluyen dispositivos PLC CompactLogix y Micro850\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Al obtener el acceso inicial, los actores de amenazas establecieron comando y control mediante la implementaci\u00f3n de Dropbear, un software Secure Shell (SSH), en los puntos finales de las v\u00edctimas para permitir el acceso remoto a trav\u00e9s del puerto 22 y facilitar la extracci\u00f3n del archivo de proyecto del dispositivo y la manipulaci\u00f3n de datos en pantallas HMI y SCADA.<\/p>\n

Para combatir la amenaza, se recomienda a las organizaciones que eviten exponer el PLC a Internet, tomen medidas para evitar la modificaci\u00f3n remota, ya sea a trav\u00e9s de un interruptor f\u00edsico o de software, implementen autenticaci\u00f3n multifactor (MFA) y erijan un firewall o proxy de red frente al PLC para controlar el acceso a la red, mantener actualizados los dispositivos PLC, deshabilitar cualquier funci\u00f3n de autenticaci\u00f3n no utilizada y monitorear el tr\u00e1fico inusual.<\/p>\n

Esta no es la primera vez que actores de amenazas iran\u00edes atacan redes OT y PLC. A finales de 2023, Cyber \u200b\u200bAv3ngers (tambi\u00e9n conocido como Hydro Kitten, Shahid Kaveh Group y UNC5691) fue vinculado a la explotaci\u00f3n activa de los PLC de Unitronics para apuntar a la Autoridad Municipal del Agua de Aliquippa en el oeste de Pensilvania. Estos ataques comprometieron al menos 75 dispositivos.<\/a><\/p>\n

\u00abEste aviso confirma lo que hemos observado durante meses: la escalada cibern\u00e9tica de Ir\u00e1n sigue un manual conocido. Los actores de amenazas iran\u00edes ahora se est\u00e1n moviendo m\u00e1s r\u00e1pido y m\u00e1s ampliamente y apuntando tanto a la infraestructura de TI como de OT\u00bb, dijo Sergey Shykevich, gerente del grupo de inteligencia de amenazas de Check Point Research, en un comunicado compartido con The Hacker News.<\/p>\n

\u00abEn marzo documentamos patrones de ataques id\u00e9nticos contra PLC israel\u00edes. No es la primera vez que actores iran\u00edes atacan tecnolog\u00eda operativa en Estados Unidos con fines de perturbaci\u00f3n, por lo que las organizaciones no deber\u00edan tratar esto como una nueva amenaza, sino como una amenaza en aceleraci\u00f3n\u00bb.<\/p>\n

El desarrollo se produce en medio de un nuevo aumento en los ataques distribuidos de denegaci\u00f3n de servicio (DDoS) y las afirmaciones de operaciones de pirater\u00eda y filtraci\u00f3n llevadas a cabo por grupos de proxy cibern\u00e9ticos y hacktivistas dirigidos a entidades occidentales e israel\u00edes, seg\u00fan Flashpoint.<\/p>\n

\"\"<\/a><\/div>\n

En un informe publicado esta semana, DomainTools Investigations (DTI) describi\u00f3 la actividad atribuida a Homeland Justice, Karma\/KarmaBelow80 y Handala Hack como un \u00abecosistema de influencia cibern\u00e9tica \u00fanico y coordinado\u00bb alineado con el Ministerio de Inteligencia y Seguridad (MOIS) de Ir\u00e1n en lugar de un conjunto de grupos hacktivistas distintos.<\/p>\n

\u00abEstas personas funcionan como chapas operativas intercambiables aplicadas a una capacidad subyacente consistente\u00bb, DTI dicho<\/a>. \u00abSu prop\u00f3sito no es reflejar la separaci\u00f3n organizacional, sino permitir la segmentaci\u00f3n de los mensajes, la focalizaci\u00f3n y la atribuci\u00f3n, preservando al mismo tiempo la continuidad de la infraestructura y el oficio\u00bb.<\/p>\n

Los dominios p\u00fablicos y los canales de Telegram sirven como el principal centro de difusi\u00f3n y amplificaci\u00f3n, y la plataforma de mensajer\u00eda tambi\u00e9n desempe\u00f1a un papel importante en las operaciones de comando y control (C2) al permitir que el malware se comunique con bots controlados por actores de amenazas, reduzca la sobrecarga de la infraestructura y se combine con las operaciones normales.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abEste ecosistema representa un instrumento de influencia cibern\u00e9tica dirigido por el Estado, en el que las operaciones t\u00e9cnicas est\u00e1n estrechamente integradas con la manipulaci\u00f3n narrativa y la din\u00e1mica de amplificaci\u00f3n de los medios para lograr efectos coercitivos y estrat\u00e9gicos\u00bb, a\u00f1adi\u00f3 el DTI.<\/p>\n

MuddyWater como afiliado de CastleRAT<\/h3>\n

El desarrollo se produce cuando JUMPSEC detall\u00f3 los v\u00ednculos de MuddyWater con el ecosistema criminal, afirmando que el actor de amenazas patrocinado por el estado iran\u00ed opera al menos dos construcciones CastleRAT contra objetivos israel\u00edes. Vale la pena se\u00f1alar que CastleRAT es un troyano de acceso remoto que forma parte del marco CastleLoader atribuido por Recorded Future a un grupo al que rastrea bajo el nombre de GrayBravo (tambi\u00e9n conocido como TAG-150).<\/p>\n

Un elemento central de las operaciones es un implementador de PowerShell (\u00abreset.ps1\u00bb) que implementa un malware basado en JavaScript previamente no documentado llamado ChainShell, que luego contacta un contrato inteligente en la cadena de bloques Ethereum para recuperar una direcci\u00f3n C2 y usarla para recuperar el c\u00f3digo JavaScript de la siguiente etapa para su ejecuci\u00f3n en hosts comprometidos.<\/p>\n

\"\"<\/a><\/div>\n

Algunos aspectos de estas conexiones entre MOIS y el ecosistema del cibercrimen tambi\u00e9n fueron se\u00f1alados por Ctrl-Alt-Intel, Broadcom y Check Point, destacando el creciente compromiso como evidencia de una creciente dependencia de herramientas disponibles para apoyar los objetivos estatales y complicar los esfuerzos de atribuci\u00f3n.<\/p>\n

Tambi\u00e9n se ha descubierto que el mismo cargador de PowerShell genera una botnet maliciosa denominada Tsundere (tambi\u00e9n conocida como Dindoor). Seg\u00fan JUMPSEC, tanto ChainShell como Tsundere son componentes separados de la plataforma TAG-150 que se implementan junto con CastleRAT.<\/p>\n

\u00abLa adopci\u00f3n de un MaaS criminal ruso por parte de un actor estatal iran\u00ed tiene implicaciones directas para los defensores\u00bb, dijo JUMPSEC en un informe compartido con The Hacker News. \u00abLas organizaciones objetivo de MuddyWater, especialmente en los sectores de defensa, aeroespacial, energ\u00e9tico y gubernamental, ahora enfrentan amenazas que combinan ataques a nivel estatal con herramientas ofensivas desarrolladas comercialmente\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los actores cibern\u00e9ticos afiliados a Ir\u00e1n est\u00e1n apuntando a dispositivos de tecnolog\u00eda operativa (OT) conectados a Internet en infraestructuras cr\u00edticas en los EE. UU., incluidos controladores l\u00f3gicos programables (PLC), agencias de inteligencia y ciberseguridad. prevenido Martes. \u00abEstos ataques han provocado una disminuci\u00f3n de la funcionalidad del PLC, manipulaci\u00f3n de los datos de visualizaci\u00f3n y, en […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1647,1648,611,24,1650,273,610,1651,542,1649,400],"class_list":["post-494","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-alteran","tag-atacando","tag-critica","tag-cyberdefensa-mx","tag-expuestos","tag-hackers","tag-infraestructura","tag-internet","tag-iran","tag-plc","tag-vinculados"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/494","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=494"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/494\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=494"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=494"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=494"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}