✨︎ Resumen (TL;DR):
- Grupos de Irán pasaron del activismo a ejecutar ciberataques complejos contra los sectores financiero y energético.
- Los ataques diarios en los Emiratos Árabes Unidos se triplicaron hasta alcanzar los 600,000 incidentes.
- Investigadores advierten que los hackers ya posicionaron malware dentro de redes críticas en Estados Unidos y Europa.
Las operaciones cibernéticas vinculadas a Irán evolucionaron drásticamente tras los ataques militares de finales de febrero. Grupos de hackers abandonaron el activismo básico para desplegar amenazas dirigidas a instituciones financieras, sistemas de aviación, agua y energía en el Golfo Pérsico, Estados Unidos y Europa.
El volumen de las agresiones creció de forma agresiva. Mohammed Al Kuwaiti, jefe de ciberseguridad del gobierno de los Emiratos Árabes Unidos, declaró a Khaleej Times que los ataques contra la infraestructura digital del país pasaron de 200,000 a cerca de 600,000 incidentes diarios. En algunas jornadas, la cifra roza los 700,000 ataques mediante ransomware y software de borrado de datos (wiper malware).
Las agencias de inteligencia estadounidenses emitieron una alerta urgente sobre la explotación de controladores lógicos programables de Rockwell Automation en sistemas de agua y energía. A la par, investigadores de Symantec detectaron al grupo iraní Seedworm, también conocido como MuddyWater, infiltrado en redes de un banco estadounidense, un aeropuerto y la división israelí de una firma de software de defensa.
Firmas de seguridad confirmaron que MuddyWater utiliza una plataforma rusa de malware-as-a-service operada por el grupo TAG-150. Esta campaña técnica, denominada ChainShell, despliega infraestructura de control a través de blockchain y cargas útiles ocultas con esteganografía.
Alianza en la dark web y pre-infiltración occidental
- El internet en Irán colapsó tras los bombardeos del 28 de febrero.
- La conectividad cayó a niveles de entre el 1 y el 4%, según reportes de Palo Alto Networks Unit 42.
- A pesar de esto, se activaron unos 60 grupos de amenazas desde el exterior.
Kennedys Law documentó que 53 grupos pro-iraníes operan en conjunto con colectivos rusos. Estos foros venden acceso inicial a sistemas comprometidos.
Un análisis del CSIS publicado este mes advirtió que actores iraníes y grupos chinos, como Volt Typhoon, lograron instalar malware de manera preventiva en la red energética de Estados Unidos. Investigadores de Thrive NextGen detallaron esta amenaza en su reporte de marzo: “Los actores iraníes casi con certeza se encuentran actualmente en un estado de pre-posicionamiento en redes críticas occidentales”.
Mientras Teherán pierde capacidad de respuesta militar directa, el espionaje digital y el sabotaje de infraestructura se consolidan como su principal arma de represalia global.
