Redazione RHC : 29 agosto 2025 20:31
Un reciente análisis de Inteligencia de Amenazas Cibernéticas (CTI) realizado por DREAM reveló detalles de una compleja campaña de phishing selectivo ocurrida en agosto de 2025. El ataque, atribuido a un grupo aliado con Irán conocido como Justicia Nacional, aprovechó la infraestructura ya comprometida para alcanzar objetivos sensibles a nivel mundial. La peculiaridad de esta operación radica en el uso de una cuenta de correo electrónico comprometida perteneciente al Ministerio de Asuntos Exteriores de Omán, que proporcionó una fachada de legitimidad a las comunicaciones maliciosas.
Los correos electrónicos de phishing contenían un archivo adjunto malicioso, un documento de Microsoft Word, que representaba el primer eslabón de la cadena de infección. Este archivo ocultaba una macro de VBA (Visual Basic para Aplicaciones), especialmente codificada para eludir los controles de seguridad estándar. Una vez activada, la macro descifró e instaló una carga útil, un archivo ejecutable llamado sysProcUpdate.exe, que fue el núcleo del ciberataque.
El malware sysProcUpdate.exe fue diseñado para realizar un reconocimiento detallado del sistema comprometido. Su tarea principal era recopilar metadatos específicos del sistema, incluyendo información sobre su configuración y el software instalado. Estos datos se cifraron para garantizar la confidencialidad y se transmitieron de forma segura a un servidor de comando y control (C2), desde donde los atacantes podían gestionar la campaña y recibir la información exfiltrada.
Para evadir los sistemas de defensa y el análisis, los atacantes implementaron varias técnicas de evasión sofisticadas. Ocultaron su origen enrutando el tráfico a través de un nodo de salida VPN en Jordania, lo que dificultó su localización. Además, la carga maliciosa se escribió en un archivo con la extensión .log, un formato que no suele asociarse con malware, con el objetivo de evadir las comprobaciones automáticas. El uso de retrasos en el código contribuyó aún más a confundir los sistemas de análisis de comportamiento.
Los principales objetivos de esta campaña fueron las instituciones diplomáticas y gubernamentales. El ataque se dirigió a entidades en una amplia gama geográfica, incluyendo Oriente Medio, África, Europa, Asia y América. En Europa, los países atacados fueron Italia, Francia, Rumanía, España, Países Bajos, Hungría, Alemania, Austria y Suecia. La campaña demostró una clara preferencia por objetivos de alto valor, con el objetivo de obtener información estratégica mediante el acceso a redes gubernamentales y de organizaciones internacionales, lo que subraya la naturaleza política o geopolítica de la amenaza.
Para mitigar el ataque, los expertos en seguridad recomiendan varias contramedidas técnicas. La primera y más inmediata es bloquear los Indicadores de Compromiso (IOC), como las direcciones IP de los servidores C2 y los hashes de archivos maliciosos. Otra recomendación crucial es la monitorización proactiva de las solicitudes POST sospechosas dirigidas a los servidores C2 y la comprobación de cambios en el registro de Windows, que pueden indicar actividad de malware.
Entre otras medidas de mitigación, se destaca la importancia de reforzar la seguridad de las macros en los programas de Office para evitar la ejecución de código arbitrario. También se recomienda realizar un análisis exhaustivo del tráfico saliente de la VPN para identificar cualquier flujo de datos anómalo. Finalmente, implementar la segmentación de la red se considera una defensa eficaz para limitar la propagación de malware y reducir el impacto de ataques similares en el futuro.
RedazioneSe ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...
Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la aparición de un ...
