Plantas eléctricas, agua, petróleo: los hackers iraníes lo controlaban todo sin que nadie sospechara la amenaza

Especialistas de la empresa Fortinet revelaron detalles de un ciberataque masivo dirigido contra infraestructuras críticas del Medio Oriente. Los atacantes, presuntamente vinculados con Irán, tuvieron acceso a redes protegidas durante casi dos años, desde mayo de 2023 hasta febrero de 2025.

La operación fue llevada a cabo por el grupo Lemon Sandstorm, también conocido como Parisite, Pioneer Kitten y UNC757. Desde 2017, estos hackers han atacado empresas aeroespaciales, compañías de petróleo y gas, sistemas de suministro de agua y plantas eléctricas en EE. UU., Europa, Medio Oriente y Australia. Según la empresa Dragos, especializada en ciberseguridad industrial, estos intrusos penetran en las redes mediante vulnerabilidades en soluciones VPN de Fortinet, Pulse Secure y Palo Alto Networks.

La cronología del último ataque se divide en cuatro fases. En la primera, que duró de mayo de 2023 a abril de 2024, los delincuentes utilizaron credenciales robadas para acceder a SSL VPN. Implantaron web shells en servidores públicos e instalaron tres puertas traseras —Havoc, HanifNet y HXLibrary— para mantener una presencia prolongada en el sistema.

La segunda fase se extendió hasta noviembre de 2024. Los atacantes consolidaron su posición desplegando web shells adicionales y una nueva puerta trasera llamada NeoExpressRAT. Con herramientas como plink y Ngrok lograron una penetración más profunda en la red, robaron correos electrónicos y accedieron a la infraestructura de virtualización.

En respuesta a los intentos de los especialistas en seguridad por limpiar el sistema, el grupo inició la tercera fase. En tres semanas, hasta el 13 de diciembre de 2024, desplegaron nuevos web shells e introdujeron dos puertas traseras adicionales: MeshCentral Agent y SystemBC.

Tras la eliminación exitosa del malware, los atacantes intentaron recuperar el control de la red explotando vulnerabilidades conocidas en el sistema Biotime (CVE-2023-38950, CVE-2023-38951 y CVE-2023-38952), y lanzaron una campaña de phishing dirigida contra 11 empleados para robar credenciales de Microsoft 365.

El arsenal de Lemon Sandstorm incluía tanto herramientas de código abierto como malware desarrollado específicamente. Havoc y MeshCentral son plataformas públicas de administración y monitoreo, mientras que SystemBC suele utilizarse como precursor del despliegue de ransomware.

Entre los desarrollos únicos de los hackers se encuentran HanifNet, un ejecutable no firmado para .NET que recibe comandos desde un servidor de control; HXLibrary, un módulo malicioso para IIS que obtiene datos de tres archivos de texto idénticos alojados en Google Docs para comunicarse con el centro de mando; CredInterceptor, que roba credenciales de la memoria del proceso LSASS de Windows; y RemoteInjector, que descarga componentes adicionales.

La implicación de Lemon Sandstorm se confirma por el uso de infraestructuras de control —apps.gist.githubapp[.]net y gupdate[.]net— ya observadas en operaciones anteriores de esta misma banda. El objetivo principal de los atacantes era la red cerrada de gestión de procesos tecnológicos (OT), aunque no se hallaron pruebas de una penetración exitosa en dicha red.

El análisis de los comandos y del patrón de actividad sugiere que la mayoría de las operaciones fueron realizadas manualmente por distintas personas. Una investigación más profunda reveló que la primera intrusión podría haberse producido el 15 de mayo de 2021.

Durante toda la operación, los atacantes utilizaron cadenas de servidores proxy y programas especiales para eludir la segmentación de la red y moverse lateralmente dentro de la infraestructura, señalan los analistas en su informe. En las etapas finales, emplearon de forma sistemática cuatro herramientas de proxy diferentes para acceder a segmentos internos, demostrando un enfoque sofisticado para mantener la persistencia y evitar la detección.