Con la actual crisis iraní en su punto máximo, la ciberactividad es un componente relevante del panorama de amenazas, junto con la presión cinética y política.
El ecosistema iraní incluye múltiples grupos alineados con entidades estatales, el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) y el Ministerio de Inteligencia y Seguridad (MOIS), así como operadores desacreditados y grupos hacktivistas. Este ecosistema soporta una amplia gama de objetivos: espionaje para obtener inteligencia y establecerse; interrupción y actividad destructiva, incluidos ataques DDoS, pseudoransomware y eliminación de datos para imponer costos; y operaciones de información que combinan actividades destructivas o fugas de datos con amplificación coordinada en línea. Se espera que esta actividad se intensifique y se extienda por todo Oriente Medio, Estados Unidos y otros países que Irán considera sus oponentes en la guerra actual. Este resumen nos muestra los principales grupos de actores de amenazas vinculados a Irán que podrían ser relevantes para esta guerra, así como las tácticas, técnicas y procedimientos (TTP) que han empleado recientemente contra objetivos en Medio Oriente y Estados Unidos. A continuación, Check Point Research destaca cómo se desarrollan estas tácticas en operaciones reales, las señales de alerta temprana que los defensores deben tener en cuenta y las medidas de mitigación más importantes en este momento.
Tormenta de arena de algodón
Cotton Sandstorm (también conocido como Emennet Pasargad / Aria Sepehr Ayandehsazan, también conocido como MarnanBridge/Haywire Kitten) es un actor cibernético iraní afiliado al IRGC (Cuerpo de la Guardia Revolucionaria Islámica), conocido por sus operaciones de influencia cibernética y campañas de reacción rápida ante un aumento de eventos regionales. Su estrategia combina la clásica actividad cibernética disruptiva con operaciones de información: desfiguración de sitios web, ataques DDoS (denegación de servicio distribuido), secuestro de correo electrónico y cuentas, y robo de datos, seguido de amplificación del estilo de piratería y filtración a través de identidades falsas y suplantación de identidad para dar forma a las narrativas. En los últimos años, Cotton Sandstorm ha ampliado sus operaciones más allá de Israel, abarcando un conjunto más amplio de víctimas, incluidas actividades centradas en el Golfo. Entre ellos se incluyen el acceso no autorizado a una empresa estadounidense de streaming IPTV (Internet Protocol Television) para transmitir mensajes generados por IA sobre la guerra en Gaza, que afecta principalmente a los Emiratos Árabes Unidos, o repetidos ataques contra entidades e infraestructuras del gobierno de Bahréin, enmarcados en mensajes antimonárquicos para protestar por la normalización de las relaciones con Israel.
En los últimos meses, Check Point Research observó un conjunto consistente de herramientas de malware asociadas con Cotton Sandstorm. Los actores suelen utilizar WezRat, un ladrón de información modular personalizado que se distribuye a través de campañas de phishing que se hacen pasar por actualizaciones de software urgentes. En algunos casos, las intrusiones fueron seguidas del despliegue del ransomware WhiteLock específicamente contra objetivos israelíes, aunque nada les impide expandir esta actividad a otros países.
Un día después del inicio del conflicto, Cotton Sandstorm revivió su antigua identidad cibernética, Altoufan Team, que se especializaba principalmente en atacar a Bahréin y había permanecido en silencio durante más de un año, reivindicando algunos nuevos supuestos objetivos en Bahréin. Esto refleja la naturaleza reactiva de las campañas del actor y una alta probabilidad de que continúe participando en intrusiones en todo Medio Oriente en medio del conflicto.
77
