Lo que se debe saber sobre las capacidades cibernéticas de Iran en el marco de sus acciones recientes
Por Check Point Research
Con la actual crisis iraní en su punto álgido, la ciberactividad es un componente relevante del panorama de amenazas, junto con la presión cinética y política. El ecosistema iraní incluye múltiples clústeres alineados con entidades estatales, el Cuerpo de la Guardia Revolucionaria Islámica (CGRI) y el Ministerio de Inteligencia y Seguridad (MOIS), así como operadores desmentidos y grupos hacktivistas. Este ecosistema sustenta una amplia gama de objetivos: espionaje para obtener inteligencia y establecerse; disrupción y actividad destructiva, incluyendo ataques DDoS, pseudoransomware y borrado de datos para imponer costos; y operaciones de información que combinan actividad destructiva o fugas de datos con amplificación coordinada en línea. Se espera que esta actividad se intensifique y se extienda por Oriente Medio, Estados Unidos y otros países que Irán considera sus oponentes en la guerra actual.
Este resumen nos muestra los principales grupos de actores de amenazas vinculados a Irán que podrían ser relevantes para esta guerra, así como las tácticas, técnicas y procedimientos (TTP) que han empleado recientemente contra objetivos en Oriente Medio y Estados Unidos. A continuación, Check Point Research destaca cómo se manifiestan estas tácticas en operaciones reales, las señales de alerta temprana que los defensores deben tener en cuenta y las medidas de mitigación más importantes en este momento.
Cotton Sandstorm
Cotton Sandstorm (también conocido como Emennet Pasargad / Aria Sepehr Ayandehsazan, también conocido como MarnanBridge/Haywire Kitten) es un actor cibernético iraní afiliado al CGRI (Cuerpo de la Guardia Revolucionaria Islámica), conocido por sus operaciones de influencia cibernética y sus campañas de reacción rápida ante un aumento repentino de los acontecimientos regionales. Su estrategia combina la clásica actividad cibernética disruptiva con operaciones de información: desfiguración de sitios web, ataques DDoS (Denegación de Servicio Distribuido), secuestro de correos electrónicos y cuentas, y robo de datos, seguido de una amplificación de estilo “hack and leak” mediante identidades falsas y suplantación de identidad para moldear narrativas.
En los últimos años, Cotton Sandstorm ha expandido sus operaciones más allá de Israel, abarcando un conjunto más amplio de víctimas, incluyendo actividades centradas en el Golfo. Estas incluyen el acceso no autorizado a una empresa estadounidense de streaming IPTV (Internet Protocol Television) para transmitir mensajes generados por IA sobre la guerra en Gaza, afectando principalmente a los Emiratos Árabes Unidos, o ataques repetidos contra entidades e infraestructuras del gobierno bahreiní, enmarcados en mensajes antimonárquicos para protestar por la normalización de las relaciones con Israel.
En los últimos meses, Check Point Research observó un conjunto consistente de herramientas de malware asociadas a Cotton Sandstorm. Los actores utilizan habitualmente WezRat, un ladrón de información modular personalizado que se distribuye mediante campañas de phishing selectivo que se hacen pasar por actualizaciones urgentes de software. En algunos casos, las intrusiones fueron seguidas por la implementación del ransomware WhiteLock específicamente contra objetivos israelíes, aunque nada les impide expandir esta actividad a otros países.
Un día después del inicio del conflicto, Cotton Sandstorm revivió su antigua identidad cibernética, Altoufan Team, que se especializaba principalmente en atacar a Bahréin y había permanecido en silencio durante más de un año, reivindicando algunos nuevos supuestos objetivos en Bahréin. Esto refleja la naturaleza reactiva de las campañas del actor y una alta probabilidad de que siga participando en intrusiones en todo Medio Oriente en medio del conflicto.
