El «trabajo soñado» por 200 dólares: hackers iraníes atacaban sistemas de todo el mundo por una miseria

En el otoño de 2025 comenzaron a aparecer en acceso público archivos atribuidos al grupo de hackers iraní APT35, también conocido como Charming Kitten. Esa serie de publicaciones dejó claro, en primer lugar, cómo está organizado el grupo, qué objetivos elige y a través de qué infraestructura desarrolla sus operaciones, así como qué empresas y personas podrían estar detrás del soporte de ese trabajo.

Ahora ese mismo conjunto se ha complementado con nuevos materiales que trasladan la conversación desde el mundo de los indicadores y los dominios a una capa mucho más doméstica: el dinero, bases internas y documentos de alta confidencialidad. El autor del análisis, Nariman Gharib, afirma que en la nueva parte de los datos se encontraron tres bloques clave.

El primer bloque son registros de pagos y hojas financieras de dos grupos de operadores: la agrupación femenina Aqiq y la agrupación masculina Pelak1. Los documentos incluyen nombres, números de cuentas bancarias y cantidades correspondientes a abril-mayo de 2025. La dispersión es notable: en parte del personal los pagos se mantienen en torno a aproximadamente 150–220 dólares al mes, en otros los importes son mínimos, lo que puede indicar distinto estatus o participación irregular. La filtración de los datos bancarios en estos casos es importante no solo para la atribución, sino también para la búsqueda de cadenas de pago y de intermediarios por los que pudo haberse realizado el pago.

El segundo bloque es una grabación adicional del sistema «Kashef», que Gharib describió anteriormente como una plataforma de vigilancia. Según las imágenes, reúne en fichas unificadas datos de distintas direcciones dentro de las estructuras de inteligencia de la Guardia Revolucionaria Islámica (IRGC) y permite buscar simultáneamente en varias bases institucionales. En la interfaz se ven bases sobre viajes al extranjero, doble nacionalidad, estudios en el exterior, cruces fronterizos y visitas a instalaciones diplomáticas en Teherán.

Para esas visitas se registran la hora de entrada y salida, datos del transporte y las matrículas, así como anotaciones administrativas. El sistema también guarda perfiles ampliados: datos de pasaporte, contactos, profesión, educación, vínculos familiares y afiliación religiosa con distinción entre chiitas y sunitas, lo que indica la posibilidad de perfilado por criterio confesional.

El tercer episodio aporta a la historia una profundidad de varias décadas. En el ordenador personal del responsable del «Departamento 40», Abbas Rahrovi, quien aparecía en materiales previos, se encontró un documento secreto de 2004: una carta del Ministerio de Inteligencia de Irán dirigida a la alta dirección militar. En ella se menciona la recepción de materiales confidenciales de la Agencia Internacional de Energía Atómica (AIEA) sobre el programa del agua pesada y la instalación de Arak: un informe técnico interno y una lista de preguntas para la inspección de mayo de 2004. Entre los autores del informe figura Olli Heinonen, que más tarde ocupó un puesto directivo en la AIEA en la unidad de salvaguardias y fue una de las figuras clave en las verificaciones del programa nuclear iraní.

Gharib relaciona este hallazgo con el hecho de que el nombre de Heinonen ya aparecía anteriormente en los materiales del «Departamento 40» como objeto prioritario de interés. En la carta también se aprecian anotaciones manuscritas con el nombre de Ahmad Vahidi y la mención del instituto de Mohsen Fakhrizadeh, lo que añade contexto sobre cómo circulaba dentro de Irán la información relativa a la supervisión nuclear.

En conjunto, la nueva parte del conjunto muestra hasta qué punto las ciberoperaciones están entrelazadas con tareas de inteligencia más amplias: junto a las herramientas y los objetivos aparecen rastros financieros, interfaces de sistemas internos y documentos que no deberían haber salido de los circuitos cerrados.