Vio un video de la manifestación y entregó su contraseña a hackers — así es la vida cotidiana de un activista iraní.
La trampa digital se cierra con un solo clic.
Los especialistas en seguridad informática de la empresa Acronis registraron una nueva campaña de ciberespionaje denominada CRESCENTHARVEST, que, según su evaluación, está dirigida contra partidarios de las protestas en curso en Irán. Los atacantes utilizan la agenda política como cebo y distribuyen software malicioso para conseguir acceso encubierto a los dispositivos y el robo de datos.
La actividad comenzó el 10 de enero. Los ataques se articulan alrededor de archivos LNK infectados, camuflados como imágenes y vídeos de las protestas. En el archivo con esos ficheros los atacantes colocan medios auténticos y un informe en farsi que describe los hechos en las «ciudades sublevadas de Irán». Ese enfoque está dirigido a iraníes que apoyan el movimiento de protesta.
El usuario recibe un archivo RAR que supuestamente contiene materiales sobre las protestas. En su interior hay fotos y vídeos, así como accesos directos con doble extensión como «.jpg.lnk» o «.mp4.lnk». Al ejecutarse, el acceso directo abre un archivo inocuo para no despertar sospechas y, al mismo tiempo, mediante PowerShell descarga un archivo ZIP adicional. En él se oculta un ejecutable firmado por Google llamado «software_reporter_tool.exe» y varias bibliotecas. Dos de ellas son sustituidas por los atacantes para ejecutar su propio código mediante la carga lateral de DLL.
Una de las bibliotecas maliciosas extrae y descifra las claves de cifrado de Chrome; la otra —el módulo CRESCENTHARVEST— proporciona acceso remoto. Recopila información del sistema, de las cuentas, de las soluciones de seguridad instaladas, roba contraseñas y cookies de navegadores, el historial de navegación, datos de Telegram Desktop, intercepta las pulsaciones de teclas y permite ejecutar comandos en el dispositivo. Para comunicarse con el servidor de control se utiliza WinHTTP, lo que ayuda a camuflar el tráfico como actividad de red habitual. La dirección de control está registrada como servicelog-information.com.
Los autores del informe consideran que tras la campaña podría estar un grupo vinculado con Irán, aunque no hay pruebas directas de atribución. Por sus métodos de intrusión, la operación recuerda ataques previos de agrupaciones de hackers iraníes como Charming Kitten y Tortoiseshell, que durante años construyeron relaciones de confianza con las víctimas antes de infectar sus dispositivos. En enero la empresa francesa HarfangLab también describió la actividad del clúster RedKitten, dirigido a ONG y a personas que documentan violaciones de derechos humanos, que utilizaba el backdoor SloppyMIO.
En este contexto se refuerzan también los mecanismos internos de control digital. The New York Times informó anteriormente que las autoridades iraníes rastreaban la ubicación de participantes en las protestas a través de los teléfonos móviles y enviaban advertencias sobre la detección de su presencia en «reuniones ilegales». Según la agrupación de defensa de derechos Holistic Resilience, a algunos usuarios les bloquearon las tarjetas SIM tras publicar información sobre las protestas.
Algunos analistas relacionan estas medidas con el desarrollo de la Red Nacional de Información de Irán —una infraestructura que permite limitar de forma flexible el acceso a servicios y controlar la actividad digital. Junto con la ingeniería social y programas maliciosos como el troyano de acceso remoto 2Ac2 (RAT), esto conforma un sistema persistente de vigilancia sobre quienes disienten.