Una campaña de ciberespionaje dirigido contra funcionarios y ministerios de Irak ha sido atribuida con un nivel de confianza medio‑alto al grupo Dust Specter, considerado vinculado a intereses iraníes. Según el equipo de investigación Zscaler ThreatLabz, la operación combina nuevos backdoors .NET, técnicas de evasión sofisticadas e ingeniería social que se apoya en servicios legítimos como Google Forms y plataformas de videoconferencia.
Ciberespionaje contra instituciones iraquíes y suplantación del Ministerio de Exteriores
La campaña, observada a partir de enero de 2026, se centra en empleados públicos y altos cargos de la administración iraquí. Dust Specter se hace pasar por el Ministerio de Asuntos Exteriores de Irak, distribuyendo correos de phishing y documentos que imitan notificaciones oficiales. Un elemento especialmente crítico es el uso de infraestructura gubernamental iraquí comprometida para alojar las cargas maliciosas, lo que hace que el tráfico parezca legítimo y dificulta su detección en entornos perimetrales tradicionales.
Los servidores de mando y control (Command and Control, C2) aplican geofencing —filtrado por ubicación geográfica— y validación de cabeceras User-Agent, aceptando peticiones únicamente desde sistemas que coinciden con el perfil de las víctimas. Además, los operadores emplean URI generados aleatoriamente con sumas de comprobación, una técnica diseñada para frustrar los bloqueos basados en patrones estáticos de URL.
Cadena de infección con SPLITDROP, TWINTASK y TWINTALK
Uso de archivos RAR con contraseña y técnica de DLL side-loading
La cadena de infección inicial comienza con un archivo RAR protegido por contraseña, un recurso habitual para eludir el escaneo automatizado de pasarelas de correo. En su interior se incluye SPLITDROP, una aplicación .NET que actúa como dropper y despliega dos módulos clave: TWINTASK y TWINTALK.
TWINTASK se oculta como una biblioteca maliciosa libvlc.dll que es cargada mediante DLL side-loading por un binario legítimo, vlc.exe. Este abuso de aplicaciones firmadas y de confianza permite reducir las alertas de seguridad. Una vez en ejecución, TWINTASK consulta cada 15 segundos el archivo C:\ProgramData\PolGuid\in.txt en busca de comandos, los ejecuta mediante PowerShell y escribe resultados y errores en out.txt, incluyendo instrucciones para mantener persistencia a través de cambios en el registro de Windows.
Orquestación C2 y comunicaciones encubiertas
En su primera ejecución, TWINTASK lanza otra aplicación legítima del propio archivo RAR, WingetUI.exe, que carga la DLL TWINTALK (hostfxr.dll). Este componente funciona como orquestador principal del C2: establece la comunicación con el servidor remoto, recibe las tareas, las traspasa a TWINTASK mediante los ficheros de intercambio y envía de vuelta los resultados. Además, gestiona funciones adicionales como subida y descarga de archivos.
TWINTALK integra un ciclo de beaconing con retardos seudaleatorios antes de contactar con el C2. Este “jitter” en las conexiones complica la correlación de eventos en soluciones de monitorización y hace que el patrón de tráfico sea menos reconocible para sistemas basados en reglas de comportamiento.
GHOSTFORM: backdoor .NET unificado y PowerShell sin archivos
Una segunda cadena de infección más reciente introduce GHOSTFORM, un backdoor .NET que consolida las capacidades de TWINTASK y TWINTALK en un único módulo. El cambio más relevante es el uso intensivo de ejecución de PowerShell en memoria (fileless), es decir, sin escribir los scripts en disco. Este enfoque reduce drásticamente los artefactos forenses y evita muchas detecciones basadas en firmas, alineándose con técnicas descritas en marcos como MITRE ATT&CK para amenazas avanzadas persistentes (APT).
Algunos ejemplares de GHOSTFORM incluyen una URL incrustada a Google Forms, que se abre automáticamente tras el compromiso. El formulario, en árabe y con apariencia de encuesta oficial del Ministerio de Exteriores iraquí, refuerza la coartada de la campaña de phishing y, además, puede servir para recopilar información adicional sobre la víctima, como cargo, departamento o detalles de contacto.
Ingeniería social y tácticas tipo ClickFix
El análisis de la infraestructura reveló el dominio C2 meetingapp[.]site, reutilizado por Dust Specter desde al menos julio de 2025. En aquella campaña, los atacantes alojaban una falsa página de invitación a Cisco Webex y guiaban al usuario para que copiase y ejecutase manualmente un script de PowerShell con el pretexto de “unirse a la reunión”. Este patrón recuerda a las conocidas estrategias ClickFix, donde se instruye a la víctima paso a paso para que ella misma ejecute el código malicioso, evitando así muchas restricciones técnicas.
El script indicaba al sistema que creara un directorio, descargara desde el mismo dominio un binario malicioso, lo guardara como ejecutable y configurara una tarea programada en Windows que se ejecutaba cada dos horas, garantizando presencia persistente en el equipo comprometido.
Vínculos con Irán y uso de inteligencia artificial generativa
La posible conexión con Irán se sustenta en varias coincidencias tácticas y técnicas. Grupos iraníes como OilRig (APT34) han sido documentados anteriormente desplegando backdoors .NET ligeros a medida y explotando infraestructuras gubernamentales iraquíes comprometidas para actividades de ciberespionaje, siguiendo un patrón muy similar al observado en Dust Specter.
El examen del código de TWINTALK y GHOSTFORM identificó la presencia de marcadores de prueba, emojis y texto Unicode poco habitual, indicios compatibles con el uso de herramientas de IA generativa durante el desarrollo. Esta tendencia, también observada en otros incidentes recientes, apunta a que actores maliciosos aprovechan la IA para acelerar la escritura de código, diversificar variantes y reducir la reutilización de fragmentos fácilmente detectables por firmas tradicionales.
Recomendaciones clave para organismos públicos y sectores críticos
Los elementos técnicos y de ingeniería social observados en Dust Specter reflejan la rápida evolución de las amenazas contra administraciones públicas y operadores de servicios esenciales. Ante este panorama, resulta esencial reforzar la visibilidad sobre PowerShell (registro detallado, integración con AMSI, bloqueo de ejecución no firmada), desplegar soluciones EDR/XDR capaces de detectar comportamientos sospechosos en memoria y controlar estrictamente la carga de DLL para mitigar riesgos de side-loading.
En paralelo, es crítico mejorar la concienciación del personal: entrenar a los usuarios para identificar correos de phishing, incluso cuando se apoyan en marcas habituales como Webex o servicios legítimos como Google Forms, y desaconsejar de forma tajante la ejecución de comandos o scripts que lleguen por correo o mensajería. Complementar estas medidas con segmentación de red, filtrado DNS y políticas de mínimo privilegio aumenta significativamente la capacidad de contener un incidente si el perímetro inicial se ve comprometido.
Dust Specter ilustra cómo los grupos de ciberespionaje combinan backdoors .NET personalizados, PowerShell sin archivos e ingeniería social altamente contextualizada para mantener acceso prolongado a redes gubernamentales. Fortalecer la monitorización, adoptar tecnologías de detección avanzada y consolidar una cultura interna de seguridad no solo reduce la superficie de ataque, sino que permite a las organizaciones públicas y críticas mantenerse un paso por delante en un escenario de amenaza cada vez más sofisticado.
