El actor de amenazas patrocinado por el estado iraní conocido como APT 42 se ha observado que tienen como blanco a personas y organizaciones de interés para el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) como parte de una nueva campaña centrada en el espionaje.
La actividad, detectada a principios de septiembre de 2025 y evaluada como continua, ha recibido el nombre en código Spear Specter de la Agencia Digital Nacional de Israel (INDA).
«La campaña se ha dirigido sistemáticamente a altos funcionarios gubernamentales y de defensa de alto nivel utilizando tácticas personalizadas de ingeniería social», dijeron los investigadores de la INDA Shimi Cohen, Adi Pick, Idan Beit-Yosef, Hila David y Yaniv Goldman, investigadores de la INDA. «Esto incluye invitar a los destinatarios a conferencias prestigiosas o organizar reuniones importantes».
Lo notable del esfuerzo es que también se extiende a los miembros de la familia de los objetivos, creando una superficie de ataque más amplia que ejerce más presión sobre los objetivos principales.
La APT42 fue documentada públicamente por primera vez a finales de 2022 por Google Mandiant, detallando sus superposiciones con otra Clúster de amenazas del IRGC grabadas como APT35, CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, Educated Manticore, GreenCharlie, ITG18, Magic Hound, Mint Sandstorm (anteriormente Phosphorus), TA453 y Yellow Garuda.
Una de las características del grupo es su capacidad para organizar campañas de ingeniería social convincentes que pueden durar días o semanas con el fin de generar confianza entre los objetivos, en algunos casos haciéndose pasar por contactos conocidos para crear una ilusión de autenticidad, antes de enviar una carga maliciosa o engañarlos para que hagan clic en enlaces con trampas explosivas.
Tan recientemente como en junio de 2025, Check Point detallada una ola de ataques en la que los actores de la amenaza se acercaron a profesionales de la tecnología y la ciberseguridad israelíes haciéndose pasar por ejecutivos o investigadores de tecnología en correos electrónicos y mensajes de WhatsApp.
Goldman dijo a The Hacker News que SpearSpecter y la campaña de junio de 2025 son distintas y han sido emprendidas por dos subgrupos diferentes dentro de APT42.
«Si bien nuestra campaña la llevó a cabo el grupo D de APT42 (que se centra más en las operaciones basadas en el malware), la campaña detallada por Check Point la llevó a cabo el grupo B del mismo grupo (que se centra más en la recolección de credenciales)», añadió Goldman.
La INDA dijo que SpearSpecter es flexible en el sentido de que el adversario modifica su enfoque en función del valor de la meta y los objetivos operativos. En una serie de ataques, las víctimas son redirigidas a páginas de reuniones falsas diseñadas para capturar sus credenciales. Por otro lado, si el objetivo final es un acceso persistente a largo plazo, los ataques conducen al despliegue de una conocida puerta trasera de PowerShell denominada TAMECAT que ha sido repetidamente poner en uso en últimos años .
Con ese fin, las cadenas de ataque implican hacerse pasar por contactos confiables de WhatsApp para enviar un enlace malicioso a un documento supuestamente obligatorio para una próxima reunión o conferencia. Cuando se hace clic en el enlace, se inicia una cadena de redireccionamiento para mostrar un acceso directo de Windows (LNK) alojado en WebDAV que se hace pasar por un archivo PDF aprovechando del controlador de protocolo «search-ms:».
El archivo LNK, por su parte, establece contacto con un Subdominio Cloudflare Workers para recuperar un script por lotes que funciona como cargador para TAMECAT, que, a su vez, emplea varios componentes modulares para facilitar la exfiltración de datos y el control remoto.
El marco de PowerShell utiliza tres canales distintos, a saber, HTTPS, Discord y Telegram, para el comando y el control (C2), lo que sugiere el objetivo del actor de amenazas de mantener el acceso persistente a los hosts comprometidos, incluso si se detecta y bloquea una vía.
En el caso de C2, basado en Telegram, TAMECAT escucha los comandos entrantes de un bot de Telegram controlado por un atacante y, a partir de ahí, obtiene y ejecuta código PowerShell adicional de diferentes subdominios de Cloudflare Workers. En el caso de Discord, se utiliza una URL de webhook para enviar información básica del sistema y recibir comandos a cambio de un canal codificado.
«El análisis de las cuentas recuperadas del servidor Discord del actor sugiere que la lógica de búsqueda de comandos se basa en los mensajes de un usuario específico, lo que permite al actor entregar comandos únicos a los servidores infectados individuales y, al mismo tiempo, utilizar el mismo canal para coordinar varios ataques, creando de manera efectiva un espacio de trabajo colaborativo en una sola infraestructura», dijeron los investigadores del INDA.
Además, TAMECAT viene equipado con funciones para realizar reconocimientos, recopilar archivos que coincidan con determinadas extensiones, robar datos de navegadores web como Google Chrome y Microsoft Edge, recopilar buzones de correo de Outlook y tomar capturas de pantalla a intervalos de 15 segundos. Los datos se filtran a través de HTTPS o FTP.
También adopta una variedad de técnicas sigilosas para evadir la detección y resistirse a los esfuerzos de análisis. Estas incluyen el cifrado de la telemetría y las cargas útiles de los controladores, la ofuscación del código fuente, el uso de archivos binarios tradicionales (LOLBins) para ocultar las actividades malintencionadas y operar principalmente en la memoria, dejando así pocos rastros en el disco.
«La infraestructura de la campaña de SpearSpecter refleja una sofisticada combinación de agilidad, sigilo y seguridad operativa diseñada para mantener un espionaje prolongado contra objetivos de alto valor», dijo la INDA. «Los operadores aprovechan una infraestructura multifacética que combina servicios en la nube legítimos con recursos controlados por los atacantes, lo que permite un acceso inicial sin interrupciones, un mando y control persistentes (C2) y una filtración encubierta de datos».