Se ha identificado una sofisticada campaña de phishing de lanza orquestada por operadores alineados iraníes dirigidos a misiones diplomáticas en todo el mundo a través de un Ministerio de Asuntos Exteriores de Omán.
El ataque, descubierto en agosto de 2025, representa una continuación de las tácticas asociadas con el grupo de justicia de la patria conectada con el Ministerio de Inteligencia y Seguridad de Irán (MOI).
La campaña aprovechó las técnicas de ingeniería social para distribuir documentos maliciosos de Microsoft Word disfrazados de comunicaciones diplomáticas urgentes.
Los atacantes enviaron correos electrónicos desde una dirección comprometida @fm.gov.om, enrutando el tráfico a través de un nodo de salida NordVPN en Jordan (212.32.83.11) para oscurecer su verdadero origen.
Los destinatarios en 270 direcciones de correo electrónico que abarcan embajadas, consulados y organizaciones internacionales en múltiples regiones recibieron documentos con sujetos que hacen referencia a “el futuro de la región después de la Guerra de Irán y Israel y el papel de los países árabes en el Medio Oriente”.
El camino de ataque de la campaña de phishing de Iran-Nexus Spear (fuente-Dreamgroup)
Analistas de DreamGroup identificado que la campaña se extendió mucho más allá de las evaluaciones iniciales, con 104 direcciones comprometidas únicas utilizadas para enmascarar el verdadero alcance de la operación.
El malware integrado en documentos de Word adjuntos empleó técnicas de codificación sofisticadas, convirtiendo secuencias numéricas en caracteres ASCII a través de la ejecución del código de macro VBA.
Mecanismo de ataque
La sofisticación técnica del ataque se hace evidente al examinar su mecanismo de ejecución.
Los documentos maliciosos contenían macros VBA ocultas dentro de los módulos “este documento” y “UserForm1”, implementando un sistema de entrega de carga útil de varias etapas.
Cadena de ejecución de macro de campaña VBA (fuente – DreamGroup)
La función del decodificador primario, designada como “DDDD”, procesa sistemáticamente las cadenas codificadas leyendo segmentos de tres dígitos y convirtiéndolos en caracteres ASCII utilizando la fórmula CHR (Val (Mid (Str, Counter, 3))).
Una técnica de evasión particularmente notable implica la función “Laylay”, que crea retrasos artificiales a través de cuatro bucles anidados que ejecutan 105 iteraciones cada una.
Esta rutina de anti-análisis obstaculiza significativamente las herramientas de análisis dinámico y los sistemas de detección automatizados de sandbox.
El malware escribe su carga útil en C: \ Users \ public \ Documents \ ManagerProc (.) Registro, disfrazando el ejecutable como un archivo de registro inofensivo antes de la ejecución a través del comando shell con parámetros vbhide.
Tras una implementación exitosa, el ejecutable SysProcupdate establece la persistencia al copiarse a C: \ ProgramData \ sysprocupdate (.) Exe y modificar los parámetros DNS del registro de Windows.
El malware recopila metadatos del sistema que incluyen nombre de usuario, nombre de la computadora y privilegios administrativos, transmitiendo esta información a través de solicitudes de publicación HTTPS cifradas al servidor de comando y control en Screetai.online/home/.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
