Una nueva investigación del equipo de Symantec y Carbon Black Threat Hunter de Broadcom ha descubierto evidencia de que un grupo de hackers iraní se ha incorporado a las redes de varias empresas estadounidenses, incluidos bancos, aeropuertos, organizaciones sin fines de lucro y la rama israelí de una empresa de software.

La actividad se ha atribuido a un grupo de hackers patrocinado por el estado llamado Agua fangosa (también conocido como Seedworm). Está afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Se estima que la campaña comenzó a principios de febrero, y se detectaron actividades recientes a continuación Ataques militares estadounidenses e israelíes contra Irán .

«La empresa de software es proveedora de las industrias aeroespacial y de defensa, entre otras, y tiene presencia en Israel, y la operación de la empresa en Israel parece ser el objetivo de esta actividad», dijo el proveedor de seguridad en un informe compartido con The Hacker News.

Se ha descubierto que los ataques dirigidos a la empresa de software, así como a un banco estadounidense y a una organización sin fines de lucro canadiense, allanan el camino para una puerta trasera hasta ahora desconocida llamada Dindoor, que aprovecha el Deno Tiempo de ejecución de JavaScript para la ejecución. Broadcom dijo que también identificó un intento de filtrar datos de la compañía de software utilizando la utilidad Rclone a un depósito de almacenamiento en la nube de Wasabi. Sin embargo, actualmente no se sabe si el esfuerzo dio sus frutos.

También se encontró en las redes de un aeropuerto estadounidense y de una organización sin fines de lucro una puerta trasera independiente de Python llamada Fakeset, que se descargaba de los servidores de Backblaze, una empresa estadounidense de almacenamiento en la nube y respaldo de datos. El certificado digital utilizado para firmar Fakeset también se ha utilizado para firmar el malware Stagecomp y Darkcomp, ambos vinculados anteriormente a MuddyWater.

adsense

«Si bien este malware no se detectó en las redes objetivo, el uso de los mismos certificados sugiere que el mismo actor, a saber, Seedworm, estaba detrás de la actividad en las redes de las empresas estadounidenses», afirman Symantec y Carbon Black.

«Los actores de amenazas iraníes se han vuelto cada vez más competentes en los últimos años. No solo han mejorado sus herramientas y su software malicioso, sino que también han demostrado una sólida capacidad de ingeniería social, incluidas las campañas de suplantación de identidad clandestina y las operaciones de «trampa» que se utilizan para establecer relaciones con objetivos de interés para obtener acceso a cuentas o información confidencial».

Los hallazgos se producen en el contexto de una escalada del conflicto militar en Irán, que desencadena un aluvión de ciberataques en la esfera digital. Una investigación reciente de Check Point ha descubierto que el grupo hacktivista propalestino conocido como Handala Hack (también conocido como Void Manticore) dirige sus operaciones a través de los rangos de IP de Starlink para investigar aplicaciones externas en busca de errores de configuración y credenciales débiles.

En los últimos meses, varios Adversarios del nexo entre Irán , como Agrius (también conocidos como Agonizing Serpens, Marshtreader y Pink Sandstorm), también tienen observado escaneo en busca de cámaras y soluciones de intercomunicación de vídeo vulnerables de Hikvision utilizando fallos de seguridad conocidos, como CVE-2017-7921 y CVE-2023-6895 .

Los ataques, según Check Point, se han intensificado a raíz del actual conflicto en Oriente Medio. Los intentos de explotación de las cámaras IP han aumentado en Israel y los países del Golfo, incluidos los Emiratos Árabes Unidos, Qatar, Bahréin y Kuwait, además de Líbano y Chipre. La actividad ha seleccionado cámaras de Dahua y Hikvision, y ha utilizado como armas las dos vulnerabilidades antes mencionadas, así como CVE-2021-36260 , CVE-2025-34067 , y CVE-2021-33044 .

«En conjunto, estas conclusiones concuerdan con la evaluación de que Irán, como parte de su doctrina, aprovecha el compromiso con las cámaras para el apoyo operativo y la evaluación continua de los daños en batalla (BDA) para las operaciones con misiles, posiblemente en algunos casos antes del lanzamiento de los misiles», dijo la empresa dijo .

«Como resultado, el seguimiento de la actividad de segmentación de cámaras desde infraestructuras específicas y atribuidas puede servir como un indicador temprano de una posible actividad cinética de seguimiento».

La guerra de Estados Unidos e Israel contra Irán también ha provocado un aviso del Centro Canadiense de Ciberseguridad (CCCS), que advertido que es probable que Irán utilice su aparato cibernético para organizar ataques de represalia contra infraestructuras críticas y operaciones de información para promover los intereses del régimen.

A continuación se enumeran algunos otros acontecimientos clave que se han producido en los últimos días -

  • Agencias de inteligencia israelíes pirateado en la extensa red de cámaras de tráfico de Teherán durante años para monitorear los movimientos de los guardaespaldas del ayatolá Ali Jamenei y otros altos funcionarios iraníes antes del asesinato del líder supremo la semana pasada, el Financial Times reportó .
  • El Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán atacó el centro de datos de Amazon en Bahréin por el apoyo de la empresa a las «actividades militares y de inteligencia del enemigo», según el medio estatal Fars News Agency dijo en Telegram.
  • Se dice que se están llevando a cabo campañas de limpieza activas contra los sectores energético, financiero, gubernamental y de servicios públicos de Israel. «El arsenal de limpiaparabrisas de Irán incluye más de 15 familias (ZeroCleare, Meteor, Dustman, DEADWOOD, Apostle, BFG Agonizer, MultiLayer, PartialWasher y otras)», Anomali dijo .
  • Los grupos APT patrocinados por el estado iraní, como MuddyWater, Charming Kitten, OilRig, Elfin y Fox Kitten, «mostraron señales claras de activación y rápida reorganización, posicionándose para realizar operaciones de represalia en medio de la escalada del conflicto», dijo LevelBlue dijo , y agregó que «la ciberseguridad representa una de las herramientas asimétricas más accesibles de Irán para tomar represalias contra los estados del Golfo que condenaron sus ataques y apoyaron las operaciones estadounidenses».
  • Según Flashpoint, una campaña cibernética masiva #OpIsrael que involucra a actores prorrusos y proiraníes ha tenido como objetivo los sistemas de control industrial (ICS) israelíes y los portales gubernamentales de Kuwait, Jordania y Bahréin. La campaña está impulsada por NoName057 (16), Handala Hack, Fatemiyoun Electronic Team y Cyber Islamic Resistance (también conocido como 313 Team).
  • Entre el 28 de febrero de 2026 y el 2 de marzo de 2026, el grupo hacktivista prorruso Z-Pentest se atribuyó la responsabilidad de comprometer a varias entidades con sede en EE. UU., incluidos los sistemas ICS y SCADA y múltiples redes de CCTV. «El momento en que se hicieron estas afirmaciones no verificadas, que coincidieron con la operación Epic Fury, sugiere que Z-Pentest probablemente comenzó a priorizar a las entidades estadounidenses como objetivos», dijo Adam Meyers, jefe de operaciones antiadversarias de CrowdStrike, a The Hacker News.
enlaces

«La cibercapacidad ofensiva de Irán ha madurado hasta convertirse en un instrumento duradero del poder estatal utilizado para apoyar la recopilación de inteligencia, la influencia regional y la señalización estratégica durante los períodos de tensión geopolítica», dijo UltraViolet Cyber dijo . «Una característica definitoria de la ciberdoctrina actual de Irán es su énfasis en la identidad y los aviones de control de la nube como la principal superficie de ataque».

«En lugar de priorizar la explotación de día cero o el malware altamente novedoso a gran escala, los operadores iraníes tienden a centrarse en técnicas de acceso repetible, como el robo de credenciales, la pulverización de contraseñas y la ingeniería social, seguidas de la persistencia a través de servicios empresariales ampliamente implementados».

Se recomienda a las organizaciones que refuercen su postura en materia de ciberseguridad, refuercen las capacidades de monitoreo, limiten la exposición a Internet, deshabiliten el acceso remoto a los sistemas de tecnología operativa (OT), apliquen la autenticación multifactor (MFA) resistente a la suplantación de identidad, implementen la segmentación de la red, realicen copias de seguridad sin conexión y se aseguren de que todas las aplicaciones conectadas a Internet, las pasarelas VPN y los dispositivos periféricos estén actualizados

«Las organizaciones occidentales deben seguir en alerta máxima ante una posible respuesta cibernética, ya que el conflicto continúa y la actividad puede ir más allá del hacktivismo y convertirse en operaciones destructivas», dijo Meyers.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.