Los piratas informáticos iraníes lanzan un nuevo malware llamado 'Tickler' en ataques dirigidos a infraestructuras críticas de Estados Unidos y los Emiratos Árabes Unidos

En un hecho preocupante, se ha observado que el grupo de piratas informáticos patrocinado por el Estado iraní, Peach Sandstorm, ha implementado un nuevo y sofisticado programa malicioso llamado " Tickler ". Este grupo, también conocido bajo varios nombres como APT33, Elfin, Holmium, Magnallium y Refined Kitten, ha intensificado sus operaciones de ciberespionaje, apuntando a infraestructuras críticas en los Estados Unidos y los Emiratos Árabes Unidos (EAU).

La amenaza en evolución de la tormenta de arena de Peach

Peach Sandstorm, conocido por sus incesantes ciberataques, ha sido una espina en el costado de la seguridad global, particularmente en sectores que son vitales para la defensa nacional y la estabilidad económica. A fines de 2023, Microsoft identificó un aumento en la actividad de este grupo, que se dirigía específicamente a los empleados de la base industrial de defensa de EE. UU. Esta escalada marca un cambio significativo, ya que el grupo aprovecha la puerta trasera Tickler recientemente desarrollada en sus operaciones.

La funcionalidad de Tickler: una puerta trasera de varias etapas

Tickler no es un programa malicioso cualquiera, sino una puerta trasera personalizada de múltiples etapas diseñada con versatilidad en mente. Una vez que se infiltra en un sistema, Tickler permite a los atacantes descargar cargas útiles maliciosas adicionales, expandiendo así su control sobre la red comprometida. Las capacidades de este programa malicioso son extensas: puede recopilar información del sistema, ejecutar comandos arbitrarios, eliminar archivos y administrar transferencias de archivos entre el sistema de la víctima y el servidor de comando y control (C&C) del atacante.

Objetivos en la mira: satélites, comunicaciones y más

Los principales objetivos de la última campaña de Peach Sandstorm son organizaciones que son pilares de la infraestructura moderna: sistemas de comunicación satelital, agencias gubernamentales y compañías de petróleo y gas tanto en los EE. UU. como en los Emiratos Árabes Unidos. Estos sectores no solo son fundamentales para el funcionamiento diario de estas naciones, sino que también tienen una importancia estratégica inmensa, lo que los convierte en objetivos principales para la recopilación de información y la posible perturbación.

Ingeniería social y tácticas de robo de contraseñas

Además de implementar el malware Tickler, Peach Sandstorm ha seguido explotando técnicas de ingeniería social a través de plataformas como LinkedIn. Al atacar a profesionales de sectores sensibles, pretenden obtener acceso a información privilegiada. Además, se ha observado que el grupo lleva a cabo ataques de rociado de contraseñas, un método en el que los atacantes utilizan contraseñas comunes en muchas cuentas para obtener acceso no autorizado. Estos ataques han estado dirigidos especialmente a organizaciones de los sectores de defensa, espacio, educación y gobierno en Estados Unidos y Australia.

Aprovechamiento de la infraestructura de Azure para el comando y control

En un giro sofisticado, Peach Sandstorm ha estado utilizando la infraestructura de Azure, específicamente suscripciones fraudulentas controladas por los atacantes, para sus operaciones de C&C. Esta táctica no solo les proporciona una infraestructura confiable, sino que también dificulta el seguimiento y el cierre de sus actividades, ya que están ocultas dentro de servicios legítimos en la nube.

Un contexto más amplio de amenazas cibernéticas

La publicación del informe de Microsoft sobre las actividades de Peach Sandstorm coincidió con otras revelaciones importantes en materia de ciberseguridad. El mismo día, Mandiant, de Google Cloud, publicó un informe sobre una operación de contrainteligencia iraní, y el gobierno de Estados Unidos emitió un aviso que destacaba la colaboración entre actores patrocinados por el Estado iraní y grupos de ransomware. Esta sincronización de informes subraya la naturaleza más amplia y coordinada de las amenazas cibernéticas que emanan de Irán.

Proteger la infraestructura crítica: el camino a seguir

A medida que Peach Sandstorm y otros actores de amenazas patrocinados por estados continúan evolucionando sus tácticas, es fundamental que las organizaciones, especialmente las de sectores críticos, refuercen sus medidas de ciberseguridad. Esto incluye implementar políticas de contraseñas sólidas, mejorar la supervisión de los servicios basados en la nube y educar a los empleados sobre los riesgos de la ingeniería social.

La batalla contra las amenazas cibernéticas está lejos de terminar, y con herramientas sofisticadas como Tickler en juego, la vigilancia y las estrategias de defensa proactiva son más importantes que nunca.