¿Para qué desarrollar tus propios virus si puedes comprar malware listo? La inteligencia iraní recurre al espionaje de bajo coste
Se demostró que, incluso para una gran operación, basta con el arsenal cibernético de otros.
Las estructuras iraníes utilizan cada vez más las herramientas y la infraestructura del mundo del cibercrimen para llevar a cabo operaciones relacionadas con tareas estatales. Este enfoque ayuda a ampliar las capacidades técnicas de los ataques y, al mismo tiempo, dificulta la identificación del verdadero organizador. La nueva tendencia es más notable en la actividad de grupos vinculados al Ministerio de Inteligencia y Seguridad de Irán.
Los especialistas de Check Point Research llamaron la atención sobre el cambio de táctica de los operadores iraníes. Antes, los ataques a menudo se disfrazaban de delitos cibernéticos comunes o de acciones de hacktivistas. Con mayor frecuencia, los atacantes presentaban las operaciones como ataques de ransomware. Ahora la situación está cambiando. Algunos grupos han comenzado a utilizar directamente la infraestructura de servicios criminales: software malicioso, mercados clandestinos y esquemas de distribución por afiliados de software malicioso.
Este modelo recuerda el enfoque que los servicios de inteligencia iraníes han aplicado desde hace tiempo en operaciones fuera de línea. En distintos países, la inteligencia colaboró con redes criminales para vigilancia, secuestros y ataques contra opositores políticos. El Departamento del Tesoro de Estados Unidos vinculó uno de esos esquemas con el narcotraficante Nadji Ibrahim Sharifi Zindashti. Según las autoridades estadounidenses, su red actuaba por encargo de la inteligencia iraní y perseguía a disidentes. Conclusiones similares formularon los servicios de inteligencia suecos, que indicaron el uso de organizaciones criminales para atacar a los opositores del régimen.
Esa lógica se está trasladando gradualmente al ciberespacio. Entre los grupos más activos, los expertos destacan a Void Manticore, también conocida por el alias Handala Hack. Sus operadores emplearon distintos disfraces de hacktivistas y realizaron operaciones contra Albania e Israel. En varias campañas, los atacantes usaron la herramienta comercial de exfiltración de datos Rhadamanthys, que se vende en foros clandestinos. El software malicioso se difundió mediante correos de phishing, haciéndolos pasar por comunicaciones del organismo nacional de ciberseguridad de Israel. Los archivos infectados se ocultaban como actualizaciones del software de F5.
Otro participante de estas operaciones es el grupo MuddyWater, que las autoridades estadounidenses relacionan con el Ministerio de Inteligencia iraní. Sus operadores han llevado a cabo durante años campañas de ciberespionaje en Oriente Medio, atacando estructuras estatales y empresas del sector de las telecomunicaciones, la defensa y la energía.
Un análisis reciente mostró intersecciones entre la actividad de MuddyWater y la infraestructura de cibercriminales. Uno de los ejemplos fue la botnet Tsundere, detectada a finales de 2025. El sistema utiliza scripts de Node.js y JavaScript para ejecutar comandos en equipos infectados. Si se detecta el entorno Node.js, el código malicioso cambia a un mecanismo alternativo a través de la plataforma Deno. En esa configuración, el malware recibió la denominación DinDoor.
También se hallaron rastros de MuddyWater en cadenas de infección donde se utilizó el cargador FakeSet. El programa distribuía otra herramienta maliciosa: CastleLoader, que se ofrece bajo el modelo de "malware como servicio". El análisis mostró coincidencias en los certificados de firma digital utilizados en varias familias de malware. Lo más probable es que distintos actores obtuvieran esos certificados de una misma fuente.
El vínculo entre los operadores estatales y la infraestructura criminal también se evidenció en el ataque al centro médico Shamir en Israel en el otoño de 2025. Inicialmente, el incidente se describió como un ataque del ransomware Qilin. Más tarde, las autoridades israelíes concluyeron que la operación fue obra de estructuras iraníes. El servicio Qilin funciona mediante un modelo de socios y proporciona herramientas a participantes externos que llevan a cabo intrusiones.
Los expertos consideran que estas operaciones forman parte de una campaña más amplia contra las instituciones sanitarias israelíes, que se mantiene desde finales de 2023. El uso de la infraestructura de cibercriminales ofrece a los operadores varias ventajas: acceso a herramientas listas para usar, una infraestructura resistente y un nivel adicional de encubrimiento.
El análisis de los últimos ataques muestra un cambio estratégico notable. Para algunos operadores iraníes, el mundo del cibercrimen ha dejado de ser solo una tapadera. El ecosistema criminal se está convirtiendo gradualmente en un recurso pleno para llevar a cabo ciberoperaciones estatales.