- Investigadores revelan nueva infraestructura de ciberatacantes iraníes que operarían ataques contra campañas políticas en Estados Unidos.
- El grupo GreenCharlie utiliza técnicas de phishing y malware para comprometer información confidencial en medio del aumento de la actividad cibernética iraní.
Investigadores de ciberseguridad de Insikt Group han descubierto que un grupo de ciberatacantes iraníes, conocido como GreenCharlie, ha creado una nueva infraestructura de red para llevar a cabo ataques contra campañas políticas en Estados Unidos. Este grupo está relacionado con otros actores de amenazas cibernéticas iraníes, como APT42 y Charming Kitten. Utilizan proveedores de DNS dinámico para registrar dominios engañosos, que simulan ser servicios en la nube o editores de documentos, con el fin de engañar a sus objetivos y obtener información confidencial o instalar software malicioso.
➡️ Te puede interesar: Distintos tipos de «phishing» y como evitarlos
Los ataques de GreenCharlie son altamente dirigidos y emplean técnicas de ingeniería social para infectar a los usuarios con malware como POWERSTAR y GORBLE (que se identificó recientemente por Google). Estos programas maliciosos son variantes de un mismo tipo de software que evoluciona constantemente. El proceso de infección comienza con un ataque de phishing, seguido por la comunicación con servidores de comando y control, y culmina con la exfiltración de datos o la entrega de más malware. Desde mayo de 2024, se han registrado numerosos dominios DDNS para facilitar estos ataques. Además, se ha identificado actividad entre direcciones IP en Irán y la infraestructura de GreenCharlie entre julio y agosto de 2024.
➡️ Te puede interesar: Qué es el Ransomware y cómo prevenir este ciberataque
Se estima que estas operaciones se facilitan mediante el uso de Proton VPN o Proton Mail para esconder su actividad. «Las operaciones de phishing de GreenCharlie son altamente específicas, a menudo empleando técnicas de ingeniería social que explotan los eventos actuales y las tensiones políticas. El grupo ha registrado numerosos dominios desde mayo de 2024, muchos de los cuales probablemente se utilizan para actividades de phishing. Estos dominios están vinculados a proveedores de DDNS, lo que permite cambios rápidos en las direcciones IP, lo que dificulta el seguimiento de las actividades del grupo», asegura Insikt Group.
➡️ Te puede interesar: OSINT en la lucha contra el Ransomware
Este descubrimiento se produce en un momento donde está aumentando la actividad cibernética iraní contra Estados Unidos y otros países. Recientemente, Microsoft informó sobre un actor de amenazas iraní, Peach Sandstorm, que se dirige a sectores en Estados Unidos y Emiratos Árabes Unidos. Además, otro grupo iraní, Pioneer Kitten, ha facilitado ataques de ransomware contra sectores educativos, financieros, médicos, defensivos y gubernamentales en colaboración con otros equipos, según aseguran agencias en Estados Unidos. Estas acciones muestran el alcance de las operaciones cibernéticas iraníes, que continúan representando un riesgo tanto para Estados Unidos como para la seguridad internacional.
➡️ Si quieres adentrarte en el mundo de la ciberseguridad, te recomendamos los siguientes programas formativos:
- Curso de Técnicas y Herramientas Avanzadas de Ciberinvestigación OSINT
- Curso de Director de Ciberseguridad
Artículo escrito por:
Rubén Asenjo Morillas. Periodista apasionado por la actualidad internacional y la geopolítica. Escribo para entender el mundo en constante cambio y compartir perspectivas que despierten la reflexión y el debate. Comprometido con la búsqueda de la verdad y las historias que impacten e inspiren.