Investigadores de Broadcom (Symantec) y del equipo Carbon Black Threat Hunter han documentado una cibercampaña a gran escala atribuida al grupo iraní MuddyWater (Seedworm), vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). La operación afecta a organizaciones en Estados Unidos e Israel, incluidos bancos, aeropuertos, ONG y la filial israelí de una gran empresa de software que presta servicios a los sectores de defensa y aeroespacial.
MuddyWater como APT estatal iraní y el contexto geopolítico
Según los análisis, la fase más activa de la campaña comenzó a principios de febrero y se intensificó tras los ataques militares de EE. UU. e Israel sobre objetivos iraníes. Esta correlación temporal encaja con la doctrina iraní descrita en informes de organismos como el CCCS canadiense y agencias occidentales, donde las ciberoperaciones se consideran una herramienta de presión política y respuesta asimétrica. MuddyWater está catalogado desde hace años como APT patrocinada por el Estado, especializada en ciberespionaje y en mantener presencia encubierta y prolongada en las redes comprometidas.
Backdoor Dindoor: abuso de Deno, Rclone y nube Wasabi para exfiltrar datos
En las redes de un banco estadounidense, una ONG canadiense y la oficina israelí de la empresa de software, los analistas identificaron un nuevo backdoor denominado Dindoor. Este malware emplea el runtime Deno para JavaScript, menos habitual que otros entornos como Node.js, lo que le permite eludir en parte las firmas y reglas de detección orientadas a plataformas más extendidas.
Dindoor proporciona control remoto completo de los sistemas infectados, ejecución de comandos y preparación de la infraestructura necesaria para el robo de información. Para la exfiltración de datos, los atacantes utilizaron la herramienta legítima de consola Rclone, redirigiendo el tráfico hacia el servicio de almacenamiento en la nube Wasabi (compatible con S3). Al camuflar la salida de datos como tráfico legítimo hacia servicios cloud comerciales, se dificulta su detección mediante monitorización de red tradicional y se reduce el riesgo de generar alertas en soluciones DLP.
Implante Python Fakeset y vínculos con Stagecomp y Darkcomp
En las redes de un aeropuerto estadounidense y otra organización sin ánimo de lucro se descubrió un segundo implante, un backdoor en Python denominado Fakeset, distribuido desde servidores del proveedor cloud estadounidense Backblaze. El binario estaba firmado con un certificado digital que ya se había utilizado para firmar los malware Stagecomp y Darkcomp, previamente asociados a MuddyWater en investigaciones anteriores.
Aunque Stagecomp y Darkcomp no se observaron directamente en esta campaña, la reutilización del mismo certificado de firma de código es un indicador técnico sólido que apunta a un único operador o, al menos, a una infraestructura de confianza compartida dentro del ecosistema APT iraní. El uso de código firmado y plataformas cloud legítimas reduce los falsos positivos en muchos antivirus y EDR, elevando el umbral de detección.
Ataques a cámaras IP Hikvision y Dahua para reconocimiento y evaluación de daños
Paralelamente, Check Point ha observado un notable repunte de la actividad de grupos proiraníes y propalestinos, entre ellos Handala Hack (también conocido como Void Manticore), que enrutan parte de sus operaciones a través de rangos IP asociados a Starlink. Estas células realizan escaneos masivos de aplicaciones web expuestas para explotar contraseñas débiles y errores de configuración.
Otros actores iraníes, como Agrius (Agonizing Serpens, Marshtreader, Pink Sandstorm), se han focalizado en el descubrimiento y explotación de vulnerabilidades en cámaras IP y sistemas de videointerfonía, aprovechando CVE como CVE‑2017‑7921, CVE‑2023‑6895, CVE‑2021‑36260, CVE‑2025‑34067 y CVE‑2021‑33044, que afectan principalmente a dispositivos Hikvision y Dahua. El volumen de ataques contra estas cámaras se ha disparado en Israel, países del Golfo (EAU, Catar, Baréin, Kuwait), así como en Líbano y Chipre.
Los analistas consideran que el control de cámaras IP proporciona a Irán capacidades de inteligencia en tiempo casi real y apoyo a la evaluación de daños de batalla (BDA), incluida la validación de impactos de ataques con misiles. Un incremento súbito de intentos de compromiso de cámaras procedentes de determinada infraestructura puede interpretarse como un indicador temprano de posibles acciones cinéticas posteriores.
Tácticas de los APT iraníes: credenciales y nube por encima de los zero‑days
El Centro Canadiense para la Ciberseguridad (CCCS) advierte de que, en el contexto de la escalada regional, Irán probablemente empleará sus capacidades ofensivas contra infraestructuras críticas occidentales y en campañas de desinformación. Firmas como UltraViolet Cyber describen el arsenal cibernético iraní como un «instrumento de poder estatal sostenido», más que como una actividad oportunista.
La doctrina actual iraní prioriza técnicas repetibles y escalables frente a la explotación intensiva de vulnerabilidades de día cero. Entre sus tácticas preferentes destacan el robo de credenciales, ataques de password spraying, phishing dirigido y elaboradas operaciones de honeytrap basadas en ingeniería social. Un objetivo clave es el control de plataformas de identidad y nube (Active Directory, IdP, servicios SaaS), que ofrecen acceso persistente y capacidad de movimiento lateral profundo en las redes comprometidas, en línea con las tendencias descritas por CISA, ENISA y proveedores como Microsoft en sus informes de amenazas.
Cómo protegerse de MuddyWater y otros grupos APT iraníes
Las organizaciones de sectores financiero, transporte, defensa y ONG deben actualizar su modelo de amenazas incorporando las tácticas, técnicas y procedimientos (TTP) de MuddyWater y otros APT iraníes. Algunas medidas prioritarias incluyen:
1. Refuerzo de la monitorización y el registro. Implementar recopilación centralizada de logs, análisis comportamental, SIEM/SOC con reglas específicas para detectar uso de herramientas como Rclone y accesos inusuales a servicios S3‑compatibles (Wasabi, Backblaze u otros).
2. Reducción de la superficie expuesta a Internet. Restringir el acceso público a paneles de administración, gateways VPN, cámaras IP y sistemas OT, aplicando VPN obligatoria, listas de IP permitidas y revisión continua de servicios expuestos.
3. Autenticación robusta y gestión de identidades. Adoptar MFA resistente al phishing (FIDO2, tokens hardware), auditar periódicamente privilegios, controlar cuentas de servicio y evitar la reutilización de contraseñas entre entornos y proveedores cloud.
4. Segmentación de red y protección OT. Separar redes corporativas y de producción, limitar o deshabilitar el acceso remoto a sistemas críticos y aplicar políticas específicas de seguridad para cámaras de videovigilancia y dispositivos IoT.
5. Copias de seguridad y gestión de vulnerabilidades. Mantener copias de seguridad offline, probar regularmente los planes de restauración y actualizar con prioridad el firmware de cámaras Hikvision/Dahua y otros dispositivos perimetrales, corrigiendo las CVE conocidas explotadas por actores iraníes.
Ante un escenario en el que las ciberoperaciones se integran cada vez más en la confrontación geopolítica, las empresas occidentales no pueden limitarse a medidas reactivas. Revisar de forma sistemática la postura de seguridad, invertir en ciberresiliencia, formar al personal frente al phishing y monitorizar de cerca los patrones asociados a APT iraníes se ha convertido en un requisito básico para garantizar la continuidad del negocio en la actual era de ciberguerra híbrida.
