Reclutadores de RR. HH., portales en React e instaladores falsos: así se infiltran los hackers iraníes en empresas de defensa europeas

Investigadores de la empresa Check Point descubrieron una campaña prolongada y dirigida del grupo Nimbus Manticore — también conocido como UNC1549 y Smoke Sandstorm — que desde principios de 2025 se dirige a empresas de defensa, operadores de telecomunicaciones y entidades aeronáuticas que coinciden con las prioridades del Cuerpo de la Guardia Revolucionaria Islámica.

Los analistas registraron un aumento de actividad en Europa occidental, especialmente en Dinamarca, Suecia y Portugal, donde los atacantes utilizaron cebos de reclutamiento convincentes y mecanismos de camuflaje de infraestructura cuidadosamente diseñados.

Los ataques comienzan con correos electrónicos de phishing personalizados supuestamente enviados por empleados de recursos humanos — a cada destinatario se le proporciona un enlace único y credenciales individuales para un portal falso hecho con React y a menudo alojado detrás de servicios proxy de Cloudflare. Tras iniciar sesión, a la víctima se le ofrece descargar un archivo ZIP con Setup.exe, un instalador que parece legítimo y que inicia una compleja cadena de carga lateral de bibliotecas mediante llamadas de bajo nivel a la API de Windows NT.

El procedimiento malicioso incluye varios pasos. Setup.exe carga desde el archivo la biblioteca userenv.dll y luego inicia el componente de Windows Defender SenseSampleUploader.exe, que carga por la fuerza xmllite.dll mediante un parámetro DllPath modificado. Para persistir en el sistema, los atacantes copian archivos al directorio %AppData%\Local\Microsoft\MigAutoPlay, renombran el archivo principal a MigAutoPlay.exe y crean una tarea programada para el inicio automático; en cada arranque se muestra una ventana de error de red falsa que distrae al usuario.

El conjunto de herramientas principal consta de la puerta trasera MiniJunk y el infostealer MiniBrowse. MiniJunk comienza a ejecutarse en DLLMain, recoge identificadores del sistema, altera el comportamiento de finalización de procesos mediante la intercepción de ExitProcess y lanza un hilo ramificado para comunicarse con el servidor C2; los comandos para controlar el dispositivo y extraer datos se transmiten en forma de cadenas separadas y se procesan mediante operaciones estándar de lectura de archivos, creación de procesos y carga de bibliotecas adicionales.

MiniBrowse se inyecta en procesos de navegadores de la familia Chromium, extrae las bases de cuentas y las envía a nodos de control por HTTP POST o a través de canales con nombre. Ambas herramientas están firmadas digitalmente de forma válida, presentan un tamaño de binarios elevado y usan ofuscación a nivel de compilador, lo que reduce la probabilidad de detección: algunas muestras durante mucho tiempo mostraron detecciones nulas en VirusTotal.

La campaña demuestra una táctica estatal madura: múltiples niveles de resiliencia, estricto cumplimiento de las normas de seguridad operativa y cebos adaptados a audiencias sectoriales. Las organizaciones en zonas de riesgo deberían reforzar las medidas anti-phishing, vigilar anomalías en la carga de DLL y prestar atención a archivos binarios firmados de gran tamaño como posible indicador de carga lateral oculta o explotación.