Itongadol/Agencia AJN.- La Agencia Digital Nacional de Israel descubrió una sofisticada y sin precedentes campaña de ciberespionaje iraní, cuyo nombre en clave es «SpearSpecter», y se atribuye a un conocido grupo iraní de amenazas vinculado a la organización de inteligencia del Cuerpo de la Guardia Revolucionaria Islámica (CGRI).
El grupo, que también opera bajo nombres como APT42 y CharmingCypress, ha cambiado de táctica, pasando de los ciberataques amplios e indiscriminados a un espionaje altamente selectivo basado en ingeniería social avanzada.
En una reunión informativa con la investigadora cibernética Shimi Cohen y Nir Bar Yosef, jefe de la unidad cibernética de la agencia, los funcionarios revelaron que la campaña se dirige sistemáticamente a personas de alto valor en los sectores de defensa y gobierno de Israel, así como a sus familiares.
«Esta campaña marca una evolución significativa», declaró Bar Yosef. «Los ciberataques se están volviendo más personales y consumen más recursos. Ya no se trata solo de robar contraseñas, sino de obtener acceso persistente y a largo plazo a objetivos específicos».
Los atacantes invierten días o incluso semanas en establecer lo que parecen ser conexiones personales o profesionales legítimas con sus objetivos. Los señuelos comunes incluyen invitaciones a «conferencias prestigiosas» o la programación de «reuniones de alto nivel».
Una de sus principales herramientas es WhatsApp, que utilizan para iniciar el contacto. La plataforma de mensajería ofrece una interfaz familiar y confiable que ayuda a establecer una buena relación. «La campaña comienza con la recopilación preliminar de inteligencia», explicó Cohen. «Luego, los atacantes se hacen pasar por una figura legítima y contactan con el objetivo, generalmente a través de WhatsApp».
Una vez establecida la confianza, se envía un enlace malicioso que desencadena una compleja cadena de ataque. Para objetivos de menor valor, los atacantes utilizan páginas de reuniones falsas prediseñadas que capturan las credenciales de inicio de sesión en tiempo real. Para individuos de mayor valor, el objetivo es implantar una sofisticada puerta trasera, denominada «TAMECAT» por Google. El malware aprovecha PowerShell, un framework de Microsoft para desarrolladores de Windows y Linux, lo que dificulta su detección por parte de las herramientas de seguridad convencionales.
Fuente: Ynet