Una sofisticada campaña de ciber sabotaje se desarrolló contra la infraestructura de comunicaciones marítimas de Irán a fines de agosto de 2025, cortando docenas de embarcaciones de vitales vínculos y ayudas de navegación.
En lugar de dirigirse a cada barco individualmente, una pesadilla logística en las aguas internacionales, los atacantes se infiltraron en el grupo Fanava, el proveedor de TI responsable de las comunicaciones satelitales a las flotas de petroleros sancionadas de Irán.
Al comprometer los terminales anticuados de Falcon Falcon de la compañía, obtuvieron acceso raíz a los sistemas Linux que ejecutan el kernel 2.6.35 y mapearon toda la constelación de embarcaciones a través de una base de datos MySQL centralizada.
El vector de infracción inicial parece haber explotado vulnerabilidades sin parpadear en las consolas de gestión de falcones heredados, lo que permite a los actores de amenaza ejecutar comandos privilegiados y asignaciones de redes exfiltradas.
Una vez dentro, cosecharon números de serie de módem, ID de red y configuraciones del sistema telefónico IP en texto plano, incluidas credenciales como “1402@argo” y “1406@diamond”.
Luego, estos detalles se armaron para orquestar un apagón sincronizado: el correo electrónico y las comunicaciones SIM FBB fallaron, las actualizaciones meteorológicas automatizadas cesaron y las señales de coordinación de puertos desaparecieron casi instantáneamente.
Investigadores de Nariman Gharib identificado Que la campaña, denominada Lab-Dookhtegan, no fue una interrupción única.
Los registros de correo electrónico que datan de mayo revelaron acceso persistente y pruebas periódicas de “nodo abajo”, confirmando que los atacantes mantuvieron el control sobre las redes durante meses antes de lanzar un final destructivo.
El 18 de agosto, ejecutaron una secuencia de “tierra quemada”, sobrescribiendo múltiples particiones de almacenamiento en módems satelitales con datos cero, lo que hace imposible la recuperación remota.
Fanava (Fuente – Nariman Gharib)
Al paralizar las flotas sancionadas de Irán, NITC e Irisl, en un momento en que las transferencias de petróleo encubiertas a China se intensifican, los atacantes dieron un golpe a las capacidades de sanciones-evasión del país.
Sin enlaces de comunicación, los petroleros corren el riesgo de desplazarse fuera del curso o convertirse en objetivos fáciles para abordar y convulsiones. La precisión de la operación subraya una fase de reconocimiento profundo, lo que permite a los actores de amenaza entregar cargas útiles máximas en el peor momento estratégico.
Mecanismo de infección
El mecanismo de infección del malware se basó en un enfoque de varias etapas: acceso inicial a través de puertos de gestión sin protección, movimiento lateral a través de claves SSH cosechadas de vertederos de MySQL y el despliegue de scripts destructivos.
Después de ganar raíz en una consola Falcon comprometida, los atacantes ejecutaron comandos similares a:-
dd if =/dev/cero de =/dev/mmcblk0p1 bs = 1m dd if =/dev/cero of =/dev/mmcblk0p2 bs = 1m
Estos comandos eliminaron sistemáticamente las particiones de almacenamiento primario y los cortes de recuperación, lo que garantiza que el firmware y las configuraciones del terminal fueran irrecuperables sin intervención física.
Direcciones IP y contraseñas en texto plano (Fuente – Nariman Gharib)
Simultáneamente, las consultas SQL extrajeron el plan de la flota:-
Seleccione Serial_Number, Vessel_Name, Network_id de Modems;
Armados con estos datos, los atacantes automatizaron las secuencias de inyección de credenciales y apagado en 64 embarcaciones con un solo script de orquestación.
POCS (Fuente – Nariman Ghaarib)
Al incrustar las entradas cron maliciosas, lograron la persistencia y la ejecución cronometrada, desencadenando el apagón en un momento calculado para maximizar el caos operativo.
Esta cadena de infección destaca la importancia de aislar las interfaces de gestión y hacer cumplir regímenes estrictos de parches en sistemas de comunicación satelitales críticos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
