«Vengadores: El final» (versión iraní): ¿por qué la agrupación APT Iran necesitó un rebranding urgente?
A veces, antes de atacar, basta con fundirse en las sombras.
En el segmento oscuro de la red se ha detectado un nuevo framework ofensivo para ataques contra infraestructuras industriales y militares, que se vincula con estructuras iraníes. La herramienta apareció en una plataforma accesible a través de la red TOR y ya ha atraído la atención de equipos especializados debido a la combinación de su desarrollo técnico, el contexto político y los vínculos con grupos asociados a estructuras estatales de Irán.
La promoción de la solución la realizó el canal «APT Iran», vinculado al ecosistema Black Industry. El framework se ofrecía a la venta a través del portal clandestino «Black Market Cartel», aunque el enlace a la transacción resultó no funcionar. Poco antes de la publicación, representantes de APT Iran anunciaron la preparación de un lanzamiento de demostración, en el que se ponía énfasis en vulnerabilidades de la infraestructura de EE. UU. La plataforma presentaba el producto como una herramienta para atacar sistemas de control críticos, industriales y militares.
Se considera que APT Iran está estrechamente ligado al grupo CyberAv3ngers, que muchas fuentes describen como un rebautizo efectivo de la misma estructura. A su vez, según servicios de inteligencia estadounidenses, CyberAv3ngers interactúa con la unidad cibernética del Cuerpo de Guardianes de la Revolución Islámica. Varias fuentes indican que APT Iran podría ser una subdivisión interna de ese mando. El 26 de enero de 2026 el canal de Telegram «APT Iran» fue eliminado junto con la mayor parte de las menciones a Black Industry, y posteriormente apareció un nuevo canal llamado «Cyber4vengers».
Los materiales publicados describen la plataforma como un conjunto para el análisis de riesgos, monitorización y explotación de redes de control industriales y militares. Entre las funciones declaradas figuran el escaneo de redes, el manejo de protocolos industriales, el análisis de vulnerabilidades, módulos de intercepción y reenvío de tráfico, soporte para Modbus, S7comm, Ethernet/IP y OPC UA, así como herramientas para reconocimiento de cámaras IP de grandes fabricantes.
Se mencionan por separado capacidades de intrusión encubierta sin huellas digitales, trabajo con sistemas aislados y análisis de la criticidad de objetivos no solo por puertos de red, sino también por su papel en la infraestructura.
También se anunciaron módulos adicionales cuyo acceso supuestamente requiere un nivel interno de confianza. Estos contemplan la implantación de puertas traseras a nivel de firmware de controladores industriales, la manipulación de datos en sistemas de supervisión y control, y el control de elementos de redes eléctricas, incluyendo la influencia en la distribución de carga y el funcionamiento del equipo.
Los autores del informe subrayan que no se puede descartar por completo la posibilidad de una trampa para detectar compradores potenciales; sin embargo, la combinación de factores —la publicación en la red onion, el nivel de detalle de las descripciones, los vínculos con APT Iran y la posterior desaparición de los recursos— apunta a la existencia real de la herramienta.
Según los investigadores, el proyecto refleja un nivel más alto de organización y capacidades técnicas de las estructuras vinculadas a Irán. Los fines presumibles de la difusión del framework podrían ir más allá de beneficios financieros y estar relacionados con el ocultamiento de la atribución de ataques y con escenarios de desestabilización más amplios.