Hojas de Excel, tickets y pura rutina: así funciona en realidad la «contabilidad de la invasión» de los hackers iraníes
Los ataques mediáticos resultaron ser consecuencia de rutinarios planes trimestrales y contratos públicos.
La filtración del cuarto episodio, relacionada con el grupo de hackers APT35, también conocido como Charming Kitten, cambia radicalmente la percepción sobre esta estructura. En los tres episodios anteriores, detallados por el investigador Nariman Garib, la atención se centró en la organización interna del grupo, incluyendo equipos de hackers masculinos y femeninos, así como los sueldos aproximados de los ejecutores. En la última tanda de datos publicados continúa esta tendencia: se trata de contabilidad, gestión de la infraestructura y logística de las ciberoperaciones.
Los archivos publicados muestran cómo una estructura estatal se disfraza de grupo informal de hackers. En lugar de exploits —hojas de Excel con listados de servidores, credenciales, transacciones de pago en criptomoneda y solicitudes de alquiler de VPS—. En el centro de este ciclo no está la creatividad, sino la rendición de cuentas. Cada acción se confirma con un ticket, un precio, una fecha y un número de pedido. Todo el sistema está diseñado con principio de auditoría interna —todo como en una organización estatal corriente, solo que en lugar de bienes y servicios hay infraestructura para el ciberespionaje.
La autodeclaración de APT35 fue el resultado de su propia negligencia. Tras la filtración, los operadores no se preocuparon por cerrar el acceso a sus servidores, contraseñas y cuentas —durante semanas partes de la infraestructura permanecieron activas. Esta negligencia subraya la extraña dualidad de Charming Kitten: a nivel de procesos hay una estricta disciplina, mientras que a nivel de seguridad hay un completo desprecio por las reglas básicas.
Entre los hallazgos más interesantes está una hoja con operaciones de pago a través de la plataforma Cryptomus. Contiene decenas de transacciones con importes de €12 a €18, realizadas con nombres ficticios mediante cuentas pseudoeuropeas. A cada pago le corresponde una solicitud interna, y todo el esquema está pensado para pasar desapercibido a la supervisión financiera. La ausencia de transferencias importantes y la uniformidad de las operaciones crean la ilusión de compras comunes de usuarios particulares.
La vinculación entre Charming Kitten y otra estructura cibernética iraní, Moses Staff, es especialmente valiosa. Durante mucho tiempo se la consideró un colectivo hacktivista independiente que actuaba por motivos ideológicos. Sin embargo, los datos del cuarto episodio muestran que detrás de esa organización está la misma máquina administrativa APT35. En las listas de dominios y cuentas aparece la dirección moses-staff.io, y las mismas cuentas de ProtonMail figuran tanto en los registros de Charming Kitten como en la infraestructura de Moses Staff.
Se constata que las filtraciones de empresas israelíes, los ataques destructivos y los manifiestos propagandísticos no son fruto de una actuación radical espontánea, sino de acciones planificadas presentadas como proyectos rutinarios. Personas concretas, dominios, pagos y servidores se mantienen en un registro único, y cada paso se registra según una plantilla estándar. Incluso detalles como un rango uniforme de precios o proveedores de alojamiento repetidos en Europa indican un esquema de aprovisionamiento cuidadosamente afinado.
Los archivos no solo levantan el telón sobre la organización interna de las operaciones de APT35, sino que permiten seguir cómo se estructura el enfrentamiento cibernético según un modelo de suscripción: cada intrusión, página de phishing o servidor de mando es el resultado de un pago, un pedido o una renovación del servicio. Precisamente esa «contabilidad de la intrusión» se convierte en el principal descubrimiento del cuarto episodio.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla