Un sofisticado grupo de amenazas persistentes avanzadas (APT), ataque presuntamente patrocinado por el Estado iraní, ha sido vinculado a una campaña de intrusión cibernética de largo plazo contra una infraestructura nacional crítica (CNI) en Oriente Medio. Según un informe del equipo de Respuesta a Incidentes de FortiGuard Labs (FGIR), la operación encubierta se extendió desde mayo de 2023 hasta febrero de 2025, destacándose por sus actividades de espionaje y persistencia estratégica en la red comprometida.
Persistencia APT: espionaje y preposicionamiento
El informe indica que los atacantes llevaron a cabo extensas operaciones de espionaje, combinadas con tácticas de preposicionamiento de red. Esta técnica les permitió mantener acceso continuo a los sistemas afectados, posiblemente para una futura ventaja estratégica o sabotaje. La actividad muestra fuertes similitudes con el grupo APT iraní conocido como Lemon Sandstorm —también identificado como Rubidium, Parisite, Pioneer Kitten y UNC757—, activo desde al menos 2017.
Este grupo ha atacado previamente sectores clave como petróleo y gas, aeroespacial, servicios de agua y electricidad, tanto en Oriente Medio como en Estados Unidos, Europa y Australia. Su modus operandi incluye la explotación de vulnerabilidades críticas en redes privadas virtuales (VPN) de Fortinet, Pulse Secure y Palo Alto Networks para obtener acceso inicial a sistemas protegidos.
Cuatro fases de ataque: evolución táctica del APT
Fortinet identificó cuatro etapas distintas en el ataque, caracterizadas por una progresión continua de técnicas y herramientas:
Fase 1 (mayo 2023 – abril 2024): Establecimiento del acceso inicial
-
Uso de credenciales robadas para acceder al sistema SSL VPN.
-
Instalación de shells web en servidores públicos.
-
Implementación de tres puertas traseras: Havoc, HanifNet y HXLibrary, permitiendo acceso remoto persistente.
Fase 2 (abril 2024 – noviembre 2024): Consolidación y lateralización
-
Incorporación de una nueva puerta trasera, NeoExpressRAT.
-
Uso de herramientas como Plink y Ngrok para penetrar más profundamente en la red.
-
Exfiltración selectiva de correos electrónicos y movimiento lateral hacia entornos de virtualización.
Fase 3 (noviembre 2024 – diciembre 2024): Respuesta a la contención
-
Despliegue adicional de MeshCentral Agent y SystemBC.
-
Refuerzo del acceso frente a medidas de remediación adoptadas por la víctima.
Fase 4 (desde diciembre 2024): Reintentos de acceso
-
Ataques de spear-phishing dirigidos a empleados para obtener credenciales de Microsoft 365.
-
Explotación de vulnerabilidades críticas en el software de control de acceso Biotime (CVE-2023-38950, -38951 y -38952).
Herramientas personalizadas y código abierto empleadas
El arsenal de los atacantes incluyó tanto herramientas personalizadas como software legítimo de código abierto:
-
Havoc: Framework C2 usado para control remoto.
-
MeshCentral: Software RMM usado para persistencia.
-
SystemBC: Malware básico usado como canal de túnel y precursor de ransomware.
-
HanifNet: Ejecutable .NET para ejecutar comandos desde un servidor C2.
-
HXLibrary: Módulo IIS malicioso que utiliza Google Docs para obtener datos de configuración.
-
CredInterceptor: DLL para capturar credenciales de LSASS.
-
RemoteInjector: Componente para ejecutar cargas útiles como Havoc.
-
RecShell: Shell web usado para reconocimiento inicial.
-
NeoExpressRAT: Puerta trasera que posiblemente se comunica a través de Discord.
-
DropShell: Shell web con capacidad de carga de archivos.
-
DarkLoadLibrary: Cargador de código abierto usado para desplegar SystemBC.
Infraestructura C2 vinculada a Lemon Sandstorm
Los investigadores atribuyeron la campaña a Lemon Sandstorm basándose en similitudes de infraestructura de comando y control (C2), incluyendo dominios como
1 | apps.gist.githubapp[.]net |
y
1 | gupdate[.]net |
, ambos previamente relacionados con operaciones iraníes.
Además, se observó que el acceso a la red podría haberse iniciado ya en mayo de 2021, lo que sugiere una campaña aún más prolongada de lo estimado inicialmente.
Objetivo clave: infraestructura OT
Uno de los objetivos más críticos del ataque fue la red restringida de Tecnología Operativa (OT). Aunque no se confirmó una penetración directa en los sistemas OT, sí se identificó actividad intensa en segmentos adyacentes, lo que representa una amenaza latente significativa.
Técnicas avanzadas de evasión y persistencia
El grupo APT utilizó múltiples capas de evasión para dificultar la detección:
-
Uso de proxies encadenados para eludir segmentaciones de red.
-
Herramientas como Plink, Ngrok y túneles personalizados para persistencia.
-
Actividades realizadas manualmente por distintos operadores, con errores de comando que sugieren un componente humano en la operación.
La necesidad de ciberdefensa avanzada ante amenazas APT
Este caso refuerza la necesidad urgente de mejorar la seguridad en infraestructuras críticas frente a amenazas APT patrocinadas por Estados. La combinación de acceso prolongado, herramientas especializadas y técnicas avanzadas de evasión hacen que ataques como el de Lemon Sandstorm representen un riesgo significativo a nivel geopolítico y operacional.
Recomendaciones clave:
-
Auditar y actualizar sistemas VPN y software expuestos.
-
Monitorizar accesos inusuales a segmentos de red sensibles.
-
Implementar segmentación de red estricta y autenticación multifactor.
-
Realizar simulacros de intrusión periódicos.
Fuente: The Hacker News
