Emojis en el código = filtración de secretos de Estado: Irán halló una forma creativa de espiar a funcionarios iraquíes
Nuevo virus GHOSTFORM se ejecuta en la memoria del equipo y elude a los antivirus
Hackers, presuntamente vinculados a Irán, desplegaron una nueva campaña contra funcionarios iraquíes y utilizaron varias piezas de malware previamente desconocidas. Durante la operación, los atacantes se hicieron pasar por el Ministerio de Asuntos Exteriores de Irak y distribuyeron archivos infectados que parecían documentos oficiales.
Los especialistas de Zscaler descubrieron actividad en enero de 2026. La campaña se atribuyó a un grupo denominado Dust Specter. Según los expertos, las herramientas y métodos coinciden con las prácticas de otros grupos de hackers iraníes.
Los atacantes emplearon dos escenarios de ataque distintos. En el primero utilizaron una cadena de varios malwares: SPLITDROP, TWINTASK y TWINTALK. En el segundo escenario operaba otro malware llamado GHOSTFORM, que combina las funciones de todos los componentes en un único archivo.
El primer esquema comenzaba con un archivo RAR llamado mofa-Network-code.rar, protegido con contraseña. En su interior había un fichero disfrazado como la aplicación WinRAR. Al ejecutarlo, el programa SPLITDROP mostraba una ventana para introducir la contraseña y descomprimir el archivo. Mientras el usuario interactuaba con la ventana, el malware descifraba archivos ocultos y los guardaba en el directorio C:\ProgramData\PolGuid.
A continuación se iniciaba el reproductor multimedia legítimo VLC. Junto con él se cargaba una biblioteca falsa libvlc.dll. Este componente se denomina TWINTASK. El módulo comprobaba continuamente un archivo de comandos e intentaba obtener nuevas instrucciones cada 15 segundos. Las órdenes recibidas se ejecutaban mediante PowerShell y los resultados se guardaban en un archivo separado.
Para mantener la persistencia en el sistema, el malware añadía entradas en el registro de Windows y aseguraba el inicio automático tras reiniciar el equipo. En esa misma cadena aparecía otro componente: TWINTALK. Este actuaba como coordinador de la comunicación con el servidor de control.
TWINTALK se comunicaba regularmente con el servidor de mando y recibía órdenes. Las peticiones se disfrazaban como tráfico habitual de navegador y usaban direcciones aleatorias. El servidor también verificaba la geolocalización de la conexión y la cadena User-Agent para filtrar sistemas de análisis de malware. Las órdenes permitían ejecutar código, descargar archivos o enviar datos desde el equipo infectado.
En el segundo esquema de ataque los atacantes emplearon el malware GHOSTFORM. Este integra toda la funcionalidad de la cadena anterior en un único ejecutable y ejecuta las órdenes directamente en la memoria, dejando casi ninguna huella en el disco.
GHOSTFORM utiliza un método inusual para retrasar su ejecución. El programa crea una ventana invisible de Windows con tamaño mínimo y transparencia. Tras un temporizador la ventana se cierra y el código malicioso continúa su actividad. Esta técnica ayuda a eludir herramientas de protección que intentan detectar actividad sospechosa inmediatamente después del inicio del programa.
Para engañar a las víctimas, los atacantes utilizaron la página Google Forms. La encuesta en árabe se presentaba como un formulario oficial del Ministerio de Asuntos Exteriores de Irak. El enlace al formulario se abría automáticamente tras el inicio del programa.
El análisis del código mostró otro detalle inusual. En fragmentos fuente del malware aparecen emojis y cadenas Unicode poco habituales. Ese estilo de código puede indicar el uso de sistemas generativos de inteligencia artificial en el desarrollo del malware.
Los especialistas también hallaron rastros de otro ataque del mismo grupo. En 2025 el dominio meetingapp.site se usó para una invitación falsa a una reunión de Cisco Webex. A la víctima se le ofrecía descargar un programa de videoconferencia y seguir instrucciones para obtener un identificador de reunión. En realidad, la instrucción ejecutaba un comando PowerShell que descargaba un archivo malicioso y lo añadía al Programador de tareas de Windows para su ejecución periódica.
La atribución de la campaña a Dust Specter se realiza con un grado de confianza moderado. La conexión con hackers iraníes se infería por los objetivos del ataque, las herramientas utilizadas y las técnicas características. En particular, los atacantes emplearon puertas traseras ligeras en la plataforma .NET, un conjunto limitado de comandos de control y ocultaron identificadores de sistemas infectados dentro de las cabeceras de las peticiones HTTP.