Un clúster de actividades de amenazas nunca antes visto con nombre en código UNK_SmudgedSerpent ha sido atribuido como responsable de una serie de ciberataques contra académicos y expertos en política exterior entre junio y agosto de 2025, coincidiendo con el aumento de las tensiones geopolíticas entre Irán e Israel.
«UNK_SmudgedSerpent aprovechó los atractivos políticos nacionales, incluidos el cambio social en Irán y la investigación sobre la militarización del Cuerpo de la Guardia Revolucionaria Islámica (IRGC)», dijo Saher Naumaan, investigador de seguridad de Proofpoint dijo en un nuevo informe compartido con The Hacker News.
La empresa de seguridad empresarial dijo que la campaña comparte similitudes tácticas con los ataques anteriores organizados por grupos de ciberespionaje iraníes, como TA455 (también conocido como Smoke Sandstorm o UNC1549), TA453 (también conocido como Mint Sandstorm o Charming Kitten), y TA 450 (también conocido como MuddyWater o Mango Sandstorm).
Los mensajes de correo electrónico tienen todas las características de un ataque clásico de Charming Kitten, en el que los actores de las amenazas se apoderan de posibles objetivos entablando conversaciones benignas con ellos antes de intentar robar sus credenciales.
En algunos casos, se ha descubierto que los correos electrónicos contienen URL maliciosas para engañar a las víctimas para que descarguen un instalador de MSI que, si bien se hace pasar por Microsoft Teams, en última instancia implementa software legítimo de monitoreo y administración remota (RMM) como PDQ Connect, una táctica que MuddyWater suele adoptar.
Proofpoint dijo que las misivas digitales también se han hecho pasar por destacadas figuras de la política exterior de los Estados Unidos asociadas con centros de estudios como la Brookings Institution y el Instituto de Washington para darles una apariencia de legitimidad y aumentar las probabilidades de éxito del ataque.
Los objetivos de estos esfuerzos son más de 20 expertos en la materia de un centro de estudios con sede en EE. UU. que se centran en asuntos políticos relacionados con Irán. Al menos en un caso, el autor de la amenaza, al recibir una respuesta, habría insistido en verificar la identidad del objetivo y la autenticidad de la dirección de correo electrónico antes de continuar con cualquier colaboración.
«Me pongo en contacto para confirmar si usted envió un correo electrónico reciente en el que expresaba interés en el proyecto de investigación de nuestro instituto», decía el correo electrónico. «El mensaje se recibió de una dirección que no parece ser tu correo electrónico principal, y quiero asegurarme de la autenticidad antes de continuar».
Posteriormente, los atacantes enviaron un enlace a ciertos documentos que, según ellos, se discutirían en una próxima reunión. Sin embargo, al hacer clic en el enlace, la víctima accede a una página de inicio falsa diseñada para recopilar las credenciales de su cuenta Microsoft.
En otra variante de la cadena de infección, la URL imita una página de inicio de sesión de Microsoft Teams junto con el botón «Unirse ahora». Sin embargo, las fases de seguimiento que se activan tras hacer clic en el supuesto botón de reunión no están claras en este momento.
Proofpoint señaló que el adversario eliminó el requisito de contraseña en la página de recopilación de credenciales después de que el objetivo «comunicara sus sospechas» y, en cambio, lo llevó directamente a una página de inicio de sesión falsa de OnlyOffice alojada en «thebesthomehealth [.] com».
«La referencia de UNK_SmudgedSerpent a solo las URL de Office y a los dominios relacionados con la salud recuerda a la actividad del TA455», afirma Naumaan. «El TA455 empezó a registrar dominios relacionados con la salud al menos desde octubre de 2024, tras un flujo constante de dominios de interés aeroespacial. Más recientemente, en junio de 2025, OnlyOffice se hizo popular para alojar archivos».
En el sitio falsificado de OnlyOffice hay un archivo ZIP que contiene un instalador MSI que, a su vez, inicia PDQ Connect. Los demás documentos, según la empresa, se consideran señuelos.
Hay pruebas que sugieren que UNK_SmudgedSerpent realizó una posible actividad práctica con el teclado para instalar herramientas de RMM adicionales, como ISL Online, a través de PDQ Connect. Se desconoce el motivo del despliegue secuencial de dos programas de RMM distintos.
Otros correos electrónicos de suplantación de identidad enviados por el autor de la amenaza se dirigieron a un académico estadounidense que buscaba ayuda para investigar al IRGC, así como a otra persona a principios de agosto de 2025, solicitando una posible colaboración para investigar «El creciente papel de Irán en América Latina y las implicaciones políticas de los Estados Unidos».
«Las campañas se alinean con la recopilación de información de inteligencia de Irán y se centran en el análisis de políticas occidentales, la investigación académica y la tecnología estratégica», dijo Proofpoint. «La operación apunta a la evolución de la cooperación entre las entidades de inteligencia iraníes y las unidades cibernéticas, lo que marca un cambio en el ecosistema de espionaje de Irán».