Sin virus, solo trabajo: los servicios de inteligencia iraníes convirtieron el tráfico de internet común en una herramienta de espionaje
El grupo iraní MuddyWater ejecutó el “robo perfecto” en redes de EE. UU.
A principios de febrero varias organizaciones en Estados Unidos, Israel y Canadá perdieron silenciosamente el control de sus sistemas. El ataque se desarrolló casi sin ser detectado, sin ruido, sin rastros típicos y sin los habituales indicadores de compromiso. Más tarde se supo que detrás de la operación estaba el grupo iraní MuddyWater, vinculado al Ministerio de Inteligencia y Seguridad de Irán.
La campaña salió a la luz a principios de marzo. Los atacantes utilizaron dos herramientas maliciosas: Dindoor y Fakeset. La primera es una puerta trasera que funciona a través del entorno de ejecución Deno. La segunda es un malware más habitual en Python. Juntas permitían afianzarse en el sistema y extraer datos sin ser detectados.
El ataque afectó a un número limitado de objetivos, pero la selección fue puntual. Entre los afectados figuran una organización financiera en Estados Unidos, un aeropuerto, una entidad sin fines de lucro en Canadá y la filial israelí de una empresa estadounidense que trabaja con el sector de defensa. Ese conjunto no parece aleatorio. A través de la entidad financiera se pueden rastrear flujos de dinero y vínculos de clientes. El acceso al aeropuerto abre datos sobre los desplazamientos de personas y la logística. Y la compromisión de una empresa del ámbito de la defensa da acceso a las cadenas de suministro y a los socios.
Dentro de las redes los atacantes actuaron con cautela. En lugar de su propia infraestructura de gestión, utilizaron servicios en la nube legítimos. Para la transferencia de datos emplearon la utilidad Rclone y enviaron la información al almacenamiento en la nube Wasabi. Para alojar archivos maliciosos usaron el servicio Backblaze B2. Ese enfoque ayuda a ocultar la actividad entre el tráfico de red habitual y reduce la probabilidad de detección.
Dindoor merece especial atención. El malware utiliza el entorno Deno, que rara vez se encuentra en redes corporativas y casi no es tenido en cuenta por las medidas de defensa. Gracias a ello, el código malicioso opera en una "zona ciega" de muchos sistemas de detección. Fakeset, en cambio, está construido sobre tecnologías más habituales, pero está relacionado con las herramientas anteriores de MuddyWater mediante los certificados usados para firmar el código. Esa continuidad ayuda a vincular con precisión la campaña actual con ataques anteriores del grupo.
Otro detalle: la ausencia casi total de indicadores técnicos. No hay hashes de archivos, listas de servidores de comando u otros datos habituales. Ese "vacío" puede significar que la operación aún continúa, o que parte de la información fue ocultada intencionadamente. En cualquier caso, ese enfoque complica la defensa, porque los métodos clásicos de búsqueda por indicadores dejan de funcionar.
El comportamiento de MuddyWater cambia de forma gradual pero perceptible. El grupo sigue utilizando scripts, roba credenciales y se afianza en los sistemas. Sin embargo, ahora los atacantes apuestan por la discreción. Eligen herramientas no estándar, renuncian a una infraestructura evidente y ocultan la actividad en servicios legítimos. Como resultado, el ataque parece el funcionamiento habitual de una red.
Toda la campaña se parece más a una preparación que a una acción puntual. El acceso a esas organizaciones permite observar, recopilar datos y, si es necesario, pasar a acciones más activas. Teniendo en cuenta la tensión geopolítica actual, esa estrategia parece pensada y de largo plazo.