Durante el conflicto de 12 días entre Israel e Irán en junio de 2025, una red sofisticada de actores de amenaza cibernética vinculada iraní lanzó operaciones digitales coordinadas contra sectores de infraestructura crítica en todo el mundo.
La campaña demostró una coordinación sin precedentes entre las operaciones militares y los ataques cibernéticos patrocinados por el estado, dirigidos a instituciones financieras, agencias gubernamentales y organizaciones de medios en múltiples países.
La ofensiva cibernética involucraba un ecosistema complejo de hackers que van desde grupos patrocinados por el estado con lazos directos hasta el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC) hasta colectivos hacktivistas ideológicamente alineados que operan con diversos grados de autonomía.
Estos actores de amenazas emplearon a diversos vectores de ataques, incluidas campañas de phishing cargadas de malware, ataques distribuidos de denegación de servicio (DDoS), exploits de inyección SQL y técnicas sofisticadas de ingeniería social diseñadas para robar datos sensibles e interrumpir las operaciones críticas.
Investigadores de SecurityScorecard identificado Más de 178 grupos de piratas informáticos activos que participan en la campaña, analizando más de 250,000 mensajes de proxies iraníes y canales hacktivistas.
El análisis reveló que varios grupos clave, incluido el gatito Imperial (también conocido como Tortoiseshell, Cuboid Sandstorm y Yellow Liderc), adaptaron rápidamente sus tácticas para alinearse con los objetivos militares de Irán, lo que sugiere una coordinación planificada entre operaciones cibernéticas y cinéticas.
Infraestructura de phishing avanzada y evolución táctica
El aspecto más preocupante de esta campaña fue la velocidad a la que los actores de amenaza establecidos modificaron sus procedimientos operativos para explotar el conflicto.
Imperial Kitten, un grupo bien documentado del estado iraní unido por sus capacidades de ingeniería social, desplegó señuelos de phishing con temas de conflictos a las pocas horas del comienzo de la escalada militar.
La infraestructura de phishing del grupo incorporó eventos actuales y tácticas de manipulación emocional, utilizando líneas de asunto que hacen referencia a ataques aéreos en curso y crisis humanitarias para aumentar las tasas de participación de las víctimas.
Los correos electrónicos de phishing contenían archivos adjuntos maliciosos diseñados para establecer un acceso persistente a las redes de destino, con cargas útiles específicamente elaboradas para evadir la detección durante los períodos de alerta aumentados típicos de las posturas de seguridad cibernética en tiempos de guerra.
Esta evolución táctica demuestra cómo los actores patrocinados por el estado pueden pivotar rápidamente sus capacidades técnicas para apoyar objetivos estratégicos más amplios, creando desafíos significativos para las metodologías tradicionales de detección de amenazas.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
