Los actores de amenaza patrocinados por el estado iraní han intensificado sus ataques cibernéticos contra la infraestructura crítica en los Estados Unidos, con un dramático aumento del 133% en la actividad maliciosa registrada durante mayo y junio de 2025.
La escalada coincide con las principales tensiones geopolíticas que rodean el reciente conflicto iraní, a medida que los investigadores de ciberseguridad rastrean una campaña coordinada que se dirige principalmente a sectores de transporte y fabricación entre empresas estadounidenses.
El aumento en los ataques representa un cambio significativo en la estrategia de guerra cibernética iraní, con datos de inteligencia de amenazas que revelan 28 incidentes documentados durante el período de dos meses en comparación con solo 12 ataques en el cuarto anterior.
Los datos de las redes de Nozomi muestran un aumento reciente en los ataques vinculados a los actores iraníes en comparación con marzo y abril de 2025 (fuente – Nozomi Networks)
Esta agresiva campaña ha provocado advertencias urgentes de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) y del Departamento de Seguridad Nacional de los Estados Unidos, destacando la necesidad crítica de medidas de seguridad mejoradas en organizaciones de infraestructura industrial y crítica.
Analistas de Nozomi Networks Labs identificado Seis grupos prominentes de amenaza persistente (APT) iraní que organizan estos ataques sofisticados: Muddywater, APT33, OilRig, Cyberav3ngers, Foxkitten y Homeland Justice.
Los actores de amenaza han demostrado una notable persistencia y sofisticación técnica, empleando diversos vectores de ataque específicamente adaptados para comprometer los entornos de tecnología operativa y los sistemas de control industrial.
Muddywater surgió como el actor de amenaza más prolífico durante esta campaña, violando con éxito al menos cinco compañías estadounidenses separadas predominantemente dentro de los sectores de transporte y fabricación.
APT33 siguió de cerca, apuntando a tres organizaciones estadounidenses diferentes, mientras que Oilrig, Cyberav3ngers, Foxkitten y Homeland Justice comprometieron al menos a dos compañías estadounidenses durante el plazo observado.
Reutilización de malware y persistencia de infraestructura
Un desarrollo particularmente preocupante implica la decisión de Cyberav3ngers de reutilizar el comando y controlar la infraestructura asociada con sus campañas anteriores.
Los investigadores de seguridad descubrieron que el grupo reciclaba deliberadamente una dirección IP previamente vinculada al despliegue de OrpacRab, también conocida como malware de iocontrol, que se identificó por primera vez en diciembre de 2024.
Este malware centrado en la tecnología operativa representa una amenaza significativa para los entornos industriales, capaz de manipular controladores lógicos programables y otros sistemas industriales críticos.
La reutilización de la infraestructura demuestra un enfoque calculado para la gestión de recursos, mientras que potencialmente indica confianza en sus medidas de seguridad operativas.
Se aconseja a las organizaciones que supervisen los indicadores de compromiso, incluidas las direcciones IP 159.100.6 (.) 69, 169.150.227 (.) 230 y 95.181.161 (.) 50 entre otras infraestructuras maliciosas identificadas en operaciones de inteligencia de amenazas continuas.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
