Se ha atribuido a un supuesto actor de amenazas vinculado con Irán a una campaña dirigida contra funcionarios gubernamentales en Irak haciéndose pasar por el Ministerio de Asuntos Exteriores del país para entregar un conjunto de malware nunca antes visto.

Zscaler ThreatLabZ, que observó la actividad en enero de 2026, está rastreando el clúster con el nombre Espectro de polvo . Los ataques, que se manifiestan en forma de dos cadenas de infección diferentes, culminan con el despliegue de un malware denominado SPLITDROP, TWINTASK, TWINTALK y GHOSTFORM.

«Dust Specter utilizó rutas URI generadas aleatoriamente para la comunicación de comando y control (C2) con valores de suma de comprobación adjuntos a las rutas URI para garantizar que estas solicitudes procedían de un sistema infectado real», dijo el investigador de seguridad Sudeep Singh dijo . «El servidor C2 también utilizó técnicas de geofencing y verificación entre usuarios y agentes».

Un aspecto notable de la campaña es el compromiso de la infraestructura relacionada con el gobierno iraquí para organizar cargas maliciosas, sin mencionar el uso de técnicas de evasión para retrasar la ejecución y pasar desapercibidos.

adsense

La primera secuencia de ataque comienza con un archivo RAR protegido con contraseña, dentro del cual hay un dropper de.NET llamado SPLITDROP, que actúa como conducto para TWINTASK, un módulo de trabajo, y TWINTALK, un orquestador C2.

TWINTASK, por su parte, es una DLL maliciosa (» libvlc.dll «) que es descargada por el binario legítimo" vlc.exe "para sondear periódicamente un archivo (» C:\ProgramData\PolGuid\in.txt «) cada 15 segundos en busca de nuevos comandos y ejecutarlos con PowerShell. Esto también incluye comandos para establecer la persistencia en el host mediante cambios en el registro de Windows. El resultado del script y los errores se capturan en un archivo de texto independiente (» C:\ProgramData\PolGuid\out.txt «).

TWINTASK, al lanzarlo por primera vez, está diseñado para ejecutar otro binario legítimo presente en el archivo extraído (» WingetUI.exe «), lo que hace que se cargue lateralmente la DLL de TWINTALK (» hostfxr.dll «). Su objetivo principal es acceder al servidor C2 para obtener nuevos comandos, coordinar las tareas con TWINTASK y devolver los resultados al servidor. Permite escribir el cuerpo del comando a partir de la respuesta de C2 a "in.txt «, así como descargar y cargar archivos.

«El orquestador C2 funciona en paralelo con el módulo de trabajo descrito anteriormente para implementar un mecanismo de sondeo basado en archivos que se utiliza para la ejecución del código», dijo Singh. «Tras la ejecución, TWINTALK entra en un bucle de señalización y retrasa la ejecución un intervalo aleatorio antes de buscar nuevos comandos en el servidor C2».

La segunda cadena de ataque representa una evolución de la primera, ya que consolida todas las funcionalidades de TWINTASK y TWINTALK en un único binario denominado GHOSTFORM. Utiliza la ejecución de scripts de PowerShell en memoria para ejecutar los comandos recuperados del servidor C2, lo que elimina la necesidad de escribir artefactos en el disco.

Ese no es el único factor diferenciador entre las dos cadenas de ataque. Se ha descubierto que algunos archivos binarios de GHOSTFORM incluyen una URL de Google Forms codificada de forma rígida que se abre automáticamente en el navegador web predeterminado del sistema una vez que el malware comienza a ejecutarse. El formulario incluye contenido escrito en árabe y se hace pasar por una encuesta oficial del Ministerio de Relaciones Exteriores de Iraq.

El análisis de Zscaler del código fuente de TWINTALK y GHOSTFORM también ha descubierto la presencia de valores de marcadores de posición, emojis y texto Unicode, lo que sugiere que es posible que se hayan utilizado herramientas de inteligencia artificial (IA) generativa para ayudar al desarrollo del malware.

enlaces

Además, se dice que el dominio C2 asociado a TWINTALK, «sitio meetingapp [.]», fue utilizado por los actores de Dust Specter en una campaña de julio de 2025 para alojar una página falsa de invitación a una reunión de Cisco Webex que indica a los usuarios que copien, peguen y ejecuten un script de PowerShell para unirse a la reunión. Las instrucciones reflejan una táctica ampliamente difundida en Haga clic en Fijar ataques de ingeniería social al estilo.

El script de PowerShell, por su parte, crea un directorio en el host e intenta obtener una carga útil no especificada del mismo dominio y guardarla como ejecutable en el directorio recién creado. También crea una tarea programada para ejecutar el binario malicioso cada dos horas.

Las conexiones de Dust Specter con Irán se basan en el hecho de que los grupos de hackers iraníes tienen un historial de desarrollo de puertas traseras ligeras y personalizadas para lograr sus objetivos. El uso de infraestructuras gubernamentales iraquíes comprometidas se ha observado en campañas anteriores vinculadas a actores de amenazas como Plataforma petrolífera (también conocido como APT34).

«Esta campaña, atribuida con una confianza media o alta a Dust Specter, probablemente tuvo como objetivo a funcionarios del gobierno que utilizaban convincentes señuelos de ingeniería social haciéndose pasar por el Ministerio de Relaciones Exteriores de Irak», dijo Zscaler. «La actividad también refleja tendencias más amplias, incluidas las técnicas tipo Clickfix y el uso creciente de la inteligencia artificial generativa para el desarrollo de malware».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.