Underc0de - La Casa de los Informáticos

El ciberespionaje sigue siendo una de las mayores amenazas para la seguridad digital de gobiernos y empresas. Recientemente, la firma de ciberseguridad suiza PRODAFT reveló detalles sobre una campaña dirigida por el grupo UNC1549, también conocido como TA455, que logró infiltrarse en 34 dispositivos pertenecientes a 11 organizaciones del sector de telecomunicaciones. Esta operación, caracterizada por el uso de señuelos de reclutamiento en LinkedIn, ha encendido alarmas en Europa, Norteamérica y Medio Oriente.

Quién es UNC1549 y qué busca

El grupo UNC1549, rastreado por PRODAFT bajo el nombre Subtle Snail, ha sido vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). Desde al menos 2022, este actor de amenazas comparte técnicas con otros grupos iraníes conocidos como Smoke Sandstorm y Crimson Sandstorm (TA456, Imperial Kitten o Tortoiseshell).

La motivación principal de estas operaciones no es financiera, sino de espionaje estratégico. Según PRODAFT, el interés de UNC1549 se centra en:

• Telecomunicaciones, para obtener acceso a redes críticas y comunicaciones sensibles.
• Aeroespacio y defensa, con el objetivo de recopilar información técnica y operativa de valor estratégico.

Ingeniería social en LinkedIn: el anzuelo perfecto

Uno de los puntos más llamativos de la campaña es el uso de LinkedIn como vector inicial de ataque. Los operadores de UNC1549 crearon perfiles falsos de recursos humanos, suplantando a empresas de renombre como Telespazio o Safran Group.

El proceso seguía una secuencia meticulosa:

• Reconocimiento en LinkedIn para identificar empleados clave con acceso privilegiado (administradores de TI, investigadores, desarrolladores).
• Spear-phishing inicial para validar direcciones de correo y recopilar información adicional.
• Campaña de reclutamiento falsa, estableciendo contacto directo en LinkedIn y generando confianza en la víctima.
• Entrega del malware a través de un archivo ZIP descargado desde un dominio fraudulento.

Este enfoque de fraudes de reclutamiento ha demostrado ser altamente efectivo, ya que explota el interés legítimo de los profesionales en nuevas oportunidades laborales.

MINIBIKE: la puerta trasera modular

El archivo ZIP entregado a las víctimas contenía un ejecutable que activaba la carga lateral de DLL para desplegar la puerta trasera MINIBIKE.

Entre sus capacidades destacan:

• Recolección de información del sistema.
• Registro de pulsaciones de teclado y contenido del portapapeles.
• Robo de credenciales de Microsoft Outlook y navegadores como Chrome, Edge y Brave.
• Capturas de pantalla de la actividad del usuario.
• Enumeración y manipulación de procesos en ejecución.
• Ejecución de cargas útiles adicionales (EXE, DLL, BAT, CMD).

Lo más preocupante es que MINIBIKE se comunica con su infraestructura C2 a través de servicios en la nube como Microsoft Azure, mezclando el tráfico malicioso con flujos legítimos y dificultando la detección.

Además, incluye técnicas avanzadas como:

• Modificación del Registro de Windows para garantizar persistencia.
• Anti-sandbox y anti-depuración para resistir el análisis.
• Aplanamiento del flujo de control y algoritmos hash personalizados para complicar la ingeniería inversa.

Un ataque personalizado para cada víctima

PRODAFT reveló que los operadores de Subtle Snail diseñan DLL específicas para cada objetivo, incluso recopilando configuraciones de red y personalizando la tabla de exportación de funciones para disfrazar archivos maliciosos como legítimos.

Este nivel de detalle confirma que no se trata de un ataque masivo indiscriminado, sino de una operación altamente dirigida y sostenida en el tiempo, con el fin de mantener acceso prolongado y robar información crítica.

Conexiones con MuddyWater y el arsenal iraní

La exposición de UNC1549 se produce en paralelo a un informe de Group-IB que detalla la evolución de otro grupo iraní: MuddyWater (también conocido como TA450, Boggy Serpens o Mango Sandstorm).

MuddyWater, activo desde 2017, ha comenzado a reducir su dependencia de herramientas de administración remota (RMM) para usar malware propio como:

• BugSleep (puerta trasera en Python para comandos y transferencia de archivos).
• LiteInject (inyector portátil).
• StealthCache (robo de credenciales y evasión de seguridad).
• Fooder (cargador de cargas cifradas en memoria).
• Phoenix (variante ligera de BugSleep).
• CannonRat (control remoto de sistemas).
• UDPGangster (comunicación C2 por UDP).

Al igual que UNC1549, MuddyWater apunta a telecomunicaciones, energía, gobiernos e infraestructura crítica, ahora con un foco creciente en Europa y Estados Unidos.

espionaje persistente y amenazas globales

La operación de UNC1549 (Subtle Snail) demuestra cómo los grupos de ciberespionaje iraníes combinan ingeniería social avanzada, malware modular y servicios en la nube para infiltrarse en empresas críticas.

Lecciones clave para las organizaciones:

• Refuerzo de la ciberconcienciación en empleados, especialmente en sectores sensibles.
• Monitoreo de tráfico en la nube para detectar actividad anómala.
• Implementación de detección avanzada de amenazas que identifique técnicas de carga lateral y persistencia en Windows.

En un contexto donde el phishing en LinkedIn y el malware especializado son cada vez más comunes, las empresas deben asumir que el espionaje digital ya no es una posibilidad remota, sino una amenaza activa que evoluciona constantemente.

Fuente: https://thehackernews.com/