Los agentes cibernéticos iraníes han intensificado su asalto a la infraestructura crítica estadounidense, con el grupo 13 de inteligencia que emerge como un actor de amenaza primaria dirigida a las instalaciones de tratamiento de agua, las redes eléctricas y los sistemas de control industrial en los Estados Unidos.
El grupo, que opera bajo el paraguas del Grupo Cyber del Cuerpo de la Guardia Revolucionaria Islámica (IRGC) Shahid Kaveh, ha demostrado capacidades sofisticadas en los sistemas de control industrial penetrantes y comprometidos, particularmente los controladores lógicos programables para unidad (PLC) que gestionan las operaciones esenciales de infraestructura.
El panorama de amenazas ha evolucionado significativamente a medida que los piratas informáticos iraníes emplean un enfoque multifacético que combina sabotaje técnico con operaciones de guerra psicológica.
Jerarquía de comandos cibernéticos IRGC (fuente – Domaintaols)
Sus recientes campañas se han infiltrado con éxito en las instalaciones de tratamiento de agua en Pensilvania, incluido el ataque altamente publicitado del sistema de agua de Aliquippa, donde los atacantes obtuvieron acceso no autorizado a los sistemas de control y capturaron capturas de pantalla comprometidas a través de sus canales de propaganda.
Estas operaciones representan una escalada preocupante en la guerra cibernética patrocinada por el estado, dirigida a la infraestructura civil que millones de estadounidenses dependen diariamente.
Jerarquía de alto nivel IRGC (Fuente-Domaintaols)
La metodología operativa de Inteligence Group 13 se centra en el malware previo al posicionamiento dentro de los entornos objetivo, creando implantes inactivos que pueden activarse para futuras operaciones de sabotaje.
Investigadores de Domaineols identificado La artesanía sofisticada del grupo, que incluye la implementación de herramientas de malware personalizadas como Iocontrol y Project Binder específicamente diseñada para manipular los sistemas de control industrial.
Los atacantes aprovechan las campañas de phishing, el robo de credenciales y la recopilación de inteligencia de código abierto para obtener acceso inicial a las redes objetivo, estableciendo posteriormente establecimientos persistentes dentro de entornos de infraestructura crítica.
El arsenal técnico del grupo demuestra una comprensión avanzada de la arquitectura de los sistemas de control industrial, con especial experiencia en la explotación de PLC unitronics comúnmente utilizados en el tratamiento de agua y las instalaciones de distribución.
Cadena de comando interna (fuente – Domaintaols)
Sus vectores de ataque generalmente implican la recolección de credenciales a través de operaciones de phishing de lanza, seguido de un movimiento lateral dentro de las redes de tecnología operativa para alcanzar los sistemas de control de supervisión y adquisición de datos (SCADA).
Tácticas de persistencia y evasión
Intelligence Group 13 emplea mecanismos de persistencia sofisticados que permiten que su malware permanezca sin ser detectado dentro de los sistemas comprometidos durante períodos prolongados.
Su enfoque implica integrar implantes de malware en las profundidades de las redes de control industrial, a menudo disfrazados de procesos de sistema legítimos o servicios de mantenimiento.
Ecosistema corporativo ampliado (Fuente – Domaindools)
El malware de iocontrol del grupo demuestra capacidades de evasión avanzadas, utilizando API legítimas del sistema y protocolos de comunicación para combinar con el tráfico de red normal.
La estrategia de persistencia del malware incluye establecer múltiples puntos de acceso redundantes dentro de las redes objetivo, asegurando la continuidad operativa incluso si se descubren y eliminan los implantes primarios.
El análisis técnico revela que los atacantes implementan desencadenantes de activación basados en el tiempo, lo que permite que el malware permanezca inactivo hasta que se cumplan las condiciones específicas o llegan fechas predeterminadas.
Este enfoque permite a los actores de amenaza a mantener el acceso a largo plazo al tiempo que minimiza los riesgos de detección durante el monitoreo de seguridad de rutina.
Su brazo de propaganda cyberaveng3rs tiene un doble propósito más allá de la guerra psicológica, actuando como un canal de comunicación para la coordinación operativa y la difusión de inteligencia de amenazas.
La capacidad del grupo para filtrar las capturas de pantalla del panel y los detalles de configuración del sistema demuestra un acceso integral a entornos de destino, destacando la gravedad de sus capacidades de penetración de infraestructura.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
