A medida que la actual crisis de Irán alcanza su punto máximo, la actividad cibernética, junto con las presiones cinéticas y políticas, es una parte relevante del panorama de amenazas.
El ecosistema iraní incluye varios grupos vinculados a entidades estatales, el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) y el Ministerio de Inteligencia y Seguridad (MOIS), así como operadores expuestos y grupos hacktivistas. Este ecosistema admite una variedad de objetivos: espionaje para obtener información y establecerse; interrupciones y actividades destructivas, incluidos ataques DDoS, pseudoransomware y eliminación de datos, que generan costos; y operaciones de información que combinan actividades destructivas o fugas de datos con refuerzo coordinado en línea. Se espera que estas actividades se intensifiquen y se extiendan en Medio Oriente, Estados Unidos y otros países que Irán considera sus oponentes en la guerra actual. Este resumen nos muestra los grupos clave de actores de amenazas relacionados con Irán que podrían ser relevantes para esta guerra, así como las tácticas, técnicas y procedimientos (TTP) que han utilizado recientemente contra objetivos en Medio Oriente y Estados Unidos. A continuación, Check Point Research examina cómo se desarrollan estas tácticas en operaciones del mundo real, qué señales de alerta temprana deben tener en cuenta los defensores y qué medidas de mitigación son actualmente más importantes.
Tormenta de arena de algodón
Cotton Sandstorm (también conocido como Emennet Pasargad / Aria Sepehr Ayandehsazan, también conocido como MarnanBridge/Haywire Kitten) es un actor cibernético iraní afiliado al IRGC (Cuerpo de la Guardia Revolucionaria Islámica) conocido por sus operaciones de influencia cibernética y campañas de respuesta rápida ante un aumento de eventos regionales. Su estrategia combina actividades cibernéticas disruptivas clásicas con operaciones de información: desfiguración de sitios web, ataques distribuidos de denegación de servicio (DDoS), secuestro de cuentas y correos electrónicos y robo de datos, seguidos de un refuerzo al estilo hackandleak a través de identidades falsas y suplantación de identidad para dar forma a las narrativas. En los últimos años, Cotton Sandstorm ha ampliado sus actividades más allá de Israel para abarcar un grupo más amplio de víctimas, incluidas actividades centradas en el Golfo. Estos incluyen el acceso no autorizado a una empresa estadounidense de streaming IPTV (Internet Protocol Television) para transmitir noticias generadas por IA sobre la guerra en Gaza, que afecta principalmente a los Emiratos Árabes Unidos, o repetidos ataques a instalaciones e infraestructura del gobierno de Bahréin integrados en mensajes antimonárquicos para protestar por la normalización de las relaciones con Israel.
En los últimos meses, Check Point Research observó una serie constante de herramientas de malware relacionadas con Cotton Sandstorm. Los actores suelen utilizar WezRat, un ladrón de información modular personalizado distribuido a través de campañas de phishing haciéndose pasar por actualizaciones de software urgentes. En algunos casos, las intrusiones han ido seguidas del uso del ransomware WhiteLock específicamente contra objetivos israelíes, aunque nada les impide expandir esta actividad a otros países.
Un día después de que comenzara el conflicto, Cotton Sandstorm revivió su antigua identidad cibernética Altoufan Team, que se especializaba principalmente en ataques a Bahréin y había permanecido en silencio durante más de un año, y afirmó haber atacado algunos nuevos objetivos sospechosos en Bahréin. Esto refleja la naturaleza reactiva de las campañas del actor y la alta probabilidad de que continúe participando en intervenciones en todo Medio Oriente en medio del conflicto.
130
