En una escalada significativa de la guerra cibernética en el Medio Oriente, los presuntos actores de amenaza patrocinados por el estado israelíes que operan bajo el nombre de “Gonjeshke Darande” (gorrión depredador) se infiltraron con éxito, el mayor intercambio de criptomonedas de Irán, el 18 de junio de 2025.
En lugar de extraer fondos con fines de lucro, los atacantes “quemaron” deliberadamente aproximadamente US $ 90 millones en varias criptomonedas transfiriéndolas a direcciones de billetera inválidas que contienen la cuerda políticamente cargada “Fuckirgcterroristsnobite”, lo que implica directamente el Cuerpo de Guardia Revolucionaria Islámica de Irán (IRGC).
El ataque ocurrió dentro de un contexto geopolítico volátil, solo cinco días después de que los ataques aéreos israelí se dirigieron a las instalaciones militares y nucleares iraníes clave el 13 de junio, que habían provocado represalias inmediatas de Irán.
Al atacar a una institución financiera acusada de evasión de sanciones, Gonjeshke Darande tenía como objetivo entregar una huelga simbólica contra la infraestructura económica de Irán mientras exponía la supuesta corrupción del régimen.
Outpost24 Investigadores identificado que la operación tenía características distintivas de la planificación estratégica a largo plazo, con evidencia que sugiere la amenaza que los actores habían establecido un acceso persistente a los sistemas internos de Nobitex mucho antes de ejecutar el ataque final.
El momento aparece calculado para maximizar el impacto psicológico y financiero durante las tensiones regionales elevadas.
La sofisticación técnica del grupo se hizo aún más evidente cuando publicaron el código fuente completo de Nobitex en Telegram, revelando configuraciones de implementación confidenciales, mecanismos de privacidad internos y scripts relacionados con los sistemas de gestión de billeteras en frío.
Gonjeshke Darande emitió una declaración anunciando la liberación inminente del código fuente completo de Nobitex (fuente – Outpost24)
Las configuraciones del servidor INTERNAL supuestamente de Nobitex publicaron por los actores de amenaza, demostrando acceso a la infraestructura de backend y los recursos de los centros de datos.
La metodología de infiltración probablemente implicó la explotación de credenciales de acceso privilegiadas obtenidas a través de un reconocimiento previo o una posible colaboración interna.
Según la declaración pública de Nobitex, el acceso no autorizado afectó partes de su infraestructura, incluidas las billeteras calientes, lo que provocó la suspensión inmediata del servicio y el aislamiento de la red de los servidores comprometidos.
// Representación simplificada de la estructura de billetera objetivo const invalidwallet = “1fuckirgCterroristsnobitexxxxxxxxxxxxxx”; Funcion TransferFunds (SourceWallet, cantidad) {// Transferencia irreversible a la dirección de quemaduras políticas de retorno blockchain.transfer (fuentewallet, invalidwallet, cantidad); }
Este incidente representa una evolución en la confrontación geopolítica habilitada cibernética, donde la infraestructura de criptomonedas se ha convertido en una nueva primera línea en los conflictos a nivel estatal. Nobitex estima que los esfuerzos de recuperación requerirán 4-5 días, complicados aún más por las interrupciones en Internet en todo el país en Irán después del ataque.
Los expertos en ciberseguridad anticipan huelgas adicionales contra las instituciones financieras iraníes en las próximas semanas, particularmente aquellos con presuntas conexiones a la evasión de sanciones o canales de financiación de IRGC.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar Tria gratis de 14 días
