Tu amigo en WhatsApp podría ser un agente iraní: luego toma capturas cada 15 segundos y te roba contraseñas, correos electrónicos y archivos.
La operación SpearSpecter demostró que incluso los chats personales pueden convertirse en puntos de entrada.
En varios países en los últimos meses se ha detectado una nueva campaña de vigilancia encubierta dirigida a estructuras de nivel estatal y de defensa. Según observaciones de la Agencia Nacional Digital de Israel (INDA), se trata de una operación prolongada llevada a cabo por el grupo APT42, vinculado al Cuerpo de los Guardianes de la Revolución Islámica. La magnitud del ataque resultó más amplia que los escenarios habituales: los atacantes intentan acceder no solo a funcionarios y empleados de organismos, sino también a sus allegados, creando presión adicional sobre el objetivo principal.
Los sucesos de septiembre fueron denominados SpearSpecter. Los autores del análisis señalan que los participantes de la operación construyen deliberadamente relaciones de confianza, trasladando la correspondencia al formato de comunicación personal. En su arsenal figuran invitaciones a conferencias inexistentes, propuestas para reunirse en persona y mensajes en nombre de conocidos. La suplantación de identidad suele prolongarse durante semanas hasta que surge el momento oportuno para enviar un enlace malicioso.
Se conoce APT42 desde 2022, cuando la compañía Mandiant describió intersecciones del grupo con otras unidades conocidas como APT35, Charming Kitten, TA453 y Mint Sandstorm. El grupo ha practicado durante mucho tiempo esquemas sofisticados de ingeniería social, y los episodios recientes solo lo han confirmado.
En el verano de 2025, especialistas de Check Point registraron una ola separada de mensajes dirigidos a empleados de empresas tecnológicas israelíes, en los que los atacantes se hacían pasar por directivos de empresas o por investigadores. Según la INDA, esta serie de ataques y SpearSpecter fueron llevados a cabo por distintos equipos internos de APT42.
La operación SpearSpecter se adapta con flexibilidad a cada objetivo. En algunos casos la víctima es redirigida a páginas falsas, donde se recopilan credenciales. En otras, los ataques llevan al despliegue del script malicioso de PowerShell TAMECAT, diseñado para una presencia encubierta prolongada. Para su entrega se emplean mensajes falsos en WhatsApp: se envía a la víctima un enlace a un supuesto documento necesario, cuyo acceso desencadena una cadena de redireccionamientos.
Finalmente, en el dispositivo llega un acceso directo LNK colocado vía WebDAV, camuflado como PDF y activado mediante el manejador del protocolo search-ms. Este archivo se conecta con un subdominio de Cloudflare Workers, obtiene un script por lotes y descarga TAMECAT.
El propio programa utiliza varios canales de control, entre ellos HTTPS, Telegram y Discord. En Telegram el control se realiza mediante un bot controlado por el operador, que transmite nuevos comandos que se obtienen desde distintos subdominios de Cloudflare Workers. En Discord se emplean direcciones webhook: a través de ellas se envía información sobre el sistema, y las respuestas contienen instrucciones para el equipo infectado. El análisis de cuentas en el servidor de Discord mostró que la lógica de procesamiento de comandos se basa en mensajes de un usuario determinado, lo que permite asignar tareas únicas a cada host infectado, manteniendo al mismo tiempo un espacio de trabajo común.
La funcionalidad de TAMECAT abarca la recopilación de información del sistema, la descarga de archivos según una lista de extensiones, el robo de datos de los navegadores Google Chrome y Microsoft Edge, la copia de buzones de Outlook y la captura de pantallas cada 15 segundos. La transmisión de información se organiza mediante HTTPS o FTP. El sigilo se logra mediante el cifrado de datos de servicio, el ofuscado del código, el uso de herramientas del sistema de Windows y el funcionamiento principalmente en la memoria del equipo.
Según las conclusiones de la INDA, la infraestructura de SpearSpecter combina elementos de plataformas en la nube conocidas y recursos propios de los operadores. Esta estructura permite adaptar fácilmente la fase inicial del ataque, mantener el control sobre los dispositivos infectados y enviar discretamente el material recopilado, lo que hace a la campaña especialmente peligrosa para organismos de alto nivel.