Se ha observado que el actor de amenaza de Ir\u00e1n-Nexus conocido como UNC2428 entrega una puerta trasera conocida como Turbio <\/b>Como parte de una campa\u00f1a de ingenier\u00eda social con tem\u00e1tica de trabajo dirigida a Israel en octubre de 2024.<\/p>\n
Mandiant propiedad de Google describi\u00f3 UNC2428 como un actor de amenaza alineado con Ir\u00e1n que se involucra en operaciones relacionadas con el ciber espionaje. Se dice que el conjunto de intrusiones distribuy\u00f3 el malware a trav\u00e9s de una “cadena compleja de t\u00e9cnicas de enga\u00f1o”.<\/p>\n
“La campa\u00f1a de ingenier\u00eda social de UNC2428 dirigi\u00f3 a las personas mientras se hac\u00eda pasar por una oportunidad de reclutamiento del contratista de defensa israel\u00ed, Rafael”, la compa\u00f1\u00eda dicho<\/a> En su informe anual de tendencias M para 2025.<\/p>\n Las personas que expresaron inter\u00e9s fueron redirigidas a un sitio que se hizo pasar por Rafael, desde donde se les pidi\u00f3 que descargaran una herramienta para ayudar a solicitar el trabajo.<\/p>\n La herramienta (“RafaelConnect.exe”) era un instalador llamado Lonefleet que, una vez lanzado, presentaba una interfaz gr\u00e1fica de usuario (GUI) a la v\u00edctima para ingresar su informaci\u00f3n personal y enviar su curr\u00edculum.<\/p>\n Una vez presentado, la puerta trasera MurkyTour se lanz\u00f3 como un proceso de fondo mediante un lanzador denominado Pile Leafpile, otorgando a los atacantes acceso persistente a la m\u00e1quina comprometida.<\/p>\n “Los actores de Ir\u00e1n-Nexus amenazas incorporaron interfaces gr\u00e1ficas de usuario (GUI) para disfrazar la ejecuci\u00f3n e instalaci\u00f3n de malware como aplicaciones o software leg\u00edtimos”, dijo Mandiant. “La adici\u00f3n de una GUI que presenta al usuario un instalador t\u00edpico y est\u00e1 configurado para imitar la forma y la funci\u00f3n del se\u00f1uelo utilizado puede reducir las sospechas de individuos espec\u00edficos”.<\/p>\n Vale la pena mencionar que la campa\u00f1a superpuesto<\/a> con actividad que la Direcci\u00f3n Cibern\u00e9tica Nacional de Israel atribuy\u00f3 a un actor de amenaza iran\u00ed llamado Black Shadow.<\/p>\n Evaluado como operando en nombre del Ministerio de Inteligencia y Seguridad de Ir\u00e1n (MOI), el grupo de pirater\u00eda es conocido por apuntar a una amplia gama de verticales de la industria en Israel, incluida la academia, el turismo, las comunicaciones, las finanzas, el transporte, la atenci\u00f3n m\u00e9dica, el gobierno y la tecnolog\u00eda.<\/p>\n Seg\u00fan Mandiant, UNC2428 es uno de los muchos grupos de actividades de amenazas iran\u00edes que han entrenado sus miras en Israel en 2024. Un grupo prominente es Cyber \u200b\u200bToufan, que se dirigi\u00f3 a los usuarios con sede en Israel con el limpiaparabrisas Pokyblight patentado.<\/p>\n UNC3313 es otro grupo de amenazas de Ir\u00e1n-Nexus que ha realizado vigilancia y operaciones estrat\u00e9gicas de recolecci\u00f3n de informaci\u00f3n a trav\u00e9s de campa\u00f1as de phishing de lanza. UNC3313, documentado por primera vez por la compa\u00f1\u00eda en febrero de 2022, se cree que est\u00e1 afiliado a Muddywater.<\/p>\n “El actor de amenazas aloj\u00f3 malware en servicios populares de intercambio de archivos y enlaces integrados dentro de los se\u00f1uelos de phishing con temas de capacitaci\u00f3n y seminarios web”, dijo Mandiant. “En una de esas campa\u00f1as, UNC3313 distribuy\u00f3 el gotero de gelatina y la puerta trasera de Bodybox a organizaciones e individuos dirigidos por sus operaciones de phishing”.<\/p>\n Los ataques montados por UNC3313 se han inclinado fuertemente en hasta nueve herramientas de monitoreo y gesti\u00f3n remota leg\u00edtimas (RMM) diferentes, una t\u00e1ctica exclusiva del grupo de agua Muddywater, en un intento por evitar los esfuerzos de detecci\u00f3n y proporcionar acceso remoto persistente.<\/p>\n La firma de inteligencia de amenazas tambi\u00e9n dijo que observ\u00f3 en julio de 2024 un presunto adversario vinculado a Ir\u00e1n que distribuye un CactUspal con nombre en c\u00f3digo interno al pasarlo como un instalador para el software de acceso remoto de Palo Alto Networks GlobalProtect.<\/p>\n El Asistente de instalaci\u00f3n, al lanzamiento, implementa sigilosamente la puerta trasera .NET que, a su vez, verifica solo una instancia del proceso se ejecuta antes de que se comunique con un servidor externo de comando y control (C2).<\/p>\n A pesar del uso de herramientas RMM, tambi\u00e9n se ha observado que los actores de amenaza iran\u00ed como UNC1549 toman medidas para incorporar la infraestructura en la nube en su artesan\u00eda para garantizar que sus acciones se combinen con servicios prevalentes en entornos empresariales.<\/p>\n “Adem\u00e1s de t\u00e9cnicas como el tipo de tipograto y la reutilizaci\u00f3n del dominio, los actores de amenaza han descubierto que alojar nodos C2 o cargas \u00fatiles en la infraestructura de la nube y el uso de dominios nativos de la nube reduce el escrutinio que puede aplicarse a sus operaciones”, dijo Mandiant.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Los-piratas-informaticos-vinculados-a-Iran-apuntan-a-Israel-con.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n