Equipo Shieldworkz
El papel de los actores de amenazas iraníes ha estado más o menos silenciado en el conflicto en curso, y hay razones para ello. Mientras algunos atribuyen este letargo a la falta de conectividad a internet, la verdadera explicación merece una comprensión más profunda de la postura estratégica de Irán en el mundo físico y en el ciberespacio. La publicación de hoy en el blog ofrece una mirada más matizada de lo que los actores de amenazas iraníes están haciendo y las medidas que las empresas pueden tomar para protegerse.
Antes de avanzar, no olvides revisar nuestra publicación anterior sobre cómo la crisis en Irán está afectando el ciberespacio, aquí.
Primero abordemos un par de mitos.
Mito uno: la cadena de mando cibernética iraní se ha desmoronado debido a la falta de comunicación.
Al igual que su contraparte en las fuerzas armadas, las alas de amenazas cibernéticas de Irán operan a través de un modelo de mosaico. Esto significa que los equipos tienen un cierto nivel de autonomía funcional y operan mediante una estructura de liderazgo escalonada. Además, los miembros de los grupos APT iraníes están dispersos por todo el país y siguen manuales operativos que definen las acciones a seguir cuando falla la conectividad. Los equipos cibernéticos iraníes eran plenamente conscientes de la posibilidad de que el fallo de conectividad impactara en las operaciones durante una guerra y han integrado este escenario en sus modelos de resiliencia operativa.
Es muy evidente para cualquiera que sepa un poco sobre situaciones de guerra que la conectividad nunca se da por sentada.
Mito dos: la capacidad general de los actores de amenazas iraníes se ha degradado debido a la atrición estructural
Sí, ha habido algún impacto, pero descartarlos o asumir que sus operaciones ahora cesarán sería un error.
La Operación Epic Fury ha cortado eficazmente el comando y control, degradado la infraestructura operativa y eliminado a líderes clave senior que supervisaban las operaciones cibernéticas. Esto ha llevado a muchos a asumir que los grupos APT iraníes están ahora aislados operativamente y no están en posición de lanzar operaciones por su cuenta. Sin embargo, considerando las redundancias que Irán ha construido en sus aparatos de liderazgo, el letargo en curso es más probable temporal mientras los equipos absorben el impacto de la Operación Epic Fury.
Irán ha experimentado la eliminación del liderazgo antes y por lo tanto conoce la importancia de tener estructuras que permitan la continuidad operativa. Por eso pudimos observar a Muddywaters operando en intervalos a través de sondeos en la región del Medio Oriente durante los últimos 3 días.
Además, hay que entender que los actores iraníes han estado activos durante más de una década. Hemos visto sus IOCs aparecer en los lugares menos esperados. Estos son actores bastante maduros y asumir que carecen de la capacidad de responder de manera autónoma sería una sobreextensión del conocimiento y la evidencia disponible.
Actores APT iraníes conocidos y su estado operativo actual
La siguiente tabla resume los principales grupos APT iraníes y nuestra evaluación de su estado operativo en el momento de la redacción, basada en nuestro análisis e investigación.
APT / Grupo | Patrocinador | Mandato Principal | Estado Actual (Mar 2026) |
APT33 (Refined Kitten) | IRGC | Malware destructivo, sabotaje de infraestructura crítica, reconocimiento prolongado | Señales periódicas detectadas. El grupo está monitoreando el ciberespacio y posibles objetivos de interés. |
APT34 / OilRig | MOIS | Espionaje, robo de datos y credenciales, acceso prolongado | Activo, actividad de reconocimiento detectada en niveles habituales |
APT35 / Charming Kitten | IRGC-IO | Spear-phishing, ingeniería social, DDoS, cosecha de credenciales | Activo en intervalos. El volumen de correos de phishing ha disminuido |
APT42 | IRGC-IO | Vigilancia dirigida de varias personas de interés | Activo |
MuddyWater | MOIS | Grupo principal, espionaje contra gobiernos regionales, infraestructura crítica, telecomunicaciones, energía | Parcialmente activo; El grupo parece haber recibido un mandato renovado de sus manejadores o liderazgo senior, lo que resulta en una recalibración y reactivación de operaciones |
Cotton Sandstorm (ASA) | IRGC | Operaciones de influencia, hack-and-leak, amplificación de IO, opera en asociación con MuddyWater para expandir la inteligencia recogida de operaciones de hacking | Activo |
Cyber Av3ngers / IRGC-CEC | IRGC-CEC | Ataques a ICS/OT, explotación de PLC, DDoS y posible participación con granjas de bots | Las operaciones han sido reducidas; proxy DDoS de baja sofisticación observado; no se confirman operaciones mayores en ICS |
¿Por qué el silencio?
La ausencia de ataques confirmados a gran escala no significa que el campo de batalla esté vacío. Los grupos APT iraníes habían establecido puntos de apoyo a largo plazo en la infraestructura crítica del Medio Oriente mediante el robo de credenciales y la violación de VPN desde principios de 2025. Estos implantes preposicionados son pasivos: hacen beacon, persisten y aún brindan a los grupos APT iraníes una oportunidad para explotar.
Cuando un aparato cibernético de un estado nación sufre el nivel de daño que ha experimentado Irán, los operadores suelen pasar de modo ofensivo a pausa/defensivo. Se dice que se están enfocando en preservar lo que queda: protegiendo la infraestructura sobreviviente, identificando qué herramientas y puntos de apoyo han sido quemados por el adversario, rotando la infraestructura de comando y evaluando daños. Se dice que esto es coherente con el precedente histórico. Algunos analistas de amenazas están trazando un paralelo con las secuelas inmediatas del incidente de Stuxnet en la última década en el que los actores cibernéticos iraníes pasaron por un período prolongado de auditoría interna, reagrupamiento, revisiones de manuales operativos y reconstrucción de infraestructura antes de emerger con campañas más sofisticadas.
Si bien esta podría ser una de las razones, tenemos que entender que Irán ha invertido significativamente en la construcción de resiliencia. Mientras los analistas están felices de respaldar el modelo de mosaico para las fuerzas armadas iraníes, algunos analistas no están dispuestos a extrapolar esta línea de pensamiento a los actores de amenazas iraníes. Los grupos APT iraníes han sido una parte integral de la política de Estado iraní desde hace un tiempo y habría encontrado formas de salir de tales situaciones en todos los frentes.
El letargo en las operaciones podría deberse a cualquiera de estas razones:
· Los grupos han recibido un mandato fresco y están en proceso de operacionalizar ese mandato. Este mandato puede haber sido emitido relativamente tarde, después del inicio de las hostilidades.
· Las identidades (de actores de amenazas), nodos y herramientas pueden mantenerse en silencio para evitar atraer atención no deseada de adversarios y preservar la capacidad de ataque
· Se están planificando campañas sofisticadas contra nuevos objetivos
· Los grupos están en modo de espera y observación para atacar en el momento adecuado
· Las tareas asignadas a los líderes de grupo que perecieron en los ataques están siendo reasignadas
· Irán quiere centrarse en la destrucción en el dominio cinético y tiene las manos llenas
Algunos o la mayoría de los elementos de los grupos de actores de amenazas iraníes han sobrevivido a los ataques hasta ahora, como se evidencia en los ataques periódicos de reconocimiento que se están registrando globalmente. Estos grupos también han retenido varios afiliados presentes fuera de las fronteras geográficas de Irán. Estos grupos representan la capa operativa final dentro del ecosistema más amplio de actores de amenazas iraní.
Trayectoria: ¿Qué viene después?
El letargo actual no se mantendrá indefinidamente. Las capacidades cibernéticas de Irán tardaron un tiempo en construirse y no serán destruidas permanentemente por una sola ronda de ataques, por más devastadores que sean. El precedente histórico, desde la reconstitución post-Stuxnet hasta la adaptación post-Suleimani, muestra que los actores cibernéticos iraníes se recuperan, se adaptan y a menudo emergen más sofisticados. Esperamos que la trayectoria evolucione en fases:
Período de tiempo | Actividad de amenaza esperada | Sectores prioritarios en riesgo |
Desde ahora hasta 4 semanas | DDoS hacktivista, desfiguraciones, operaciones de influencia a gran escala a través de grupos proxy (y afiliados) en redes sociales; esfuerzos de restauración de internet en Irán; reconocimiento por células APT externas. Algunas de las brechas anteriores donde se ha desplegado malware a largo plazo podrían ser reactivadas | Infraestructura civil en todo el Medio Oriente, sector financiero de EE.UU., portales gubernamentales del CCG, transporte marítimo global, activos de petróleo y gas en el Estrecho de Ormuz |
1 a 3 meses | Reactivación estructurada de APT a medida que se restaura la conectividad; se reanudan las campañas de cosecha de credenciales; posible despliegue de malware destructivo contra objetivos de alto valor de Israel/EE.UU.; sondeo de cadenas de suministro. | Energía, contratistas de defensa, telecomunicaciones, salud israelí, servicios de agua de EE.UU., puertos y cadenas de suministro |
3 a 9 meses | Reafirmación cibernética completa de IRGC/MOIS; infraestructura C2 reconstruida bajo nuevas identidades de cobertura; ampliación de la mira de infraestructura crítica occidental para señalización estratégica; amenaza escalada OT/ICS. | Infraestructura crítica de EE.UU./UE, sistemas financieros del CCG, base industrial de defensa occidental, infraestructura crítica en países neutrales |
Más allá de los 9 meses | Cuadro reconstruido con infraestructura endurecida y distribuida; lecciones aprendidas de la interrupción absorbidas; preposicionamiento potencial en geografías previamente no atacadas para evitar atribuciones. Lanzar campañas más complejas y sofisticadas | Espionaje prolongado en miembros de la OTAN, ataques periódicos para establecer presencia creíble, dirigido al sector energético a nivel mundial junto con objetivos políticos |
Vías de ataque probables a corto plazo
Con base en OSINT actual, los siguientes vectores de ataque tienen la mayor probabilidad a corto plazo, ordenados por la disposición y preparación de los actores de amenazas para desplegar:
• Suplantación de identidad y robo de credenciales: APT35 / Charming Kitten y Educated Manticore (alineado con IRGC-IO) continuarán escalando operaciones y registrarán un ataque importante para atraer atención
• DDoS y desfiguración por proxys hacktivistas: The Electronic Operations Room, Handala Hack, Cyber Fattah, y grupos afiliados continuarán operaciones de alto volumen y baja sofisticación. Estos generan titulares pero rara vez superan el umbral de interrupción significativa.
• Activación de malware preposicionado: el escenario de mayor riesgo a corto plazo. Si los manejadores iraníes restauran las comunicaciones y deciden activar los implantes preposicionados en infraestructura energética o de agua, el impacto podría ser significativo y rápido. Los defensores en estos sectores deben priorizar la caza de amenazas inmediatamente.
• Destino ICS/OT a través de activos expuestos en internet: los actores afiliados a IRGC-CEC han explotado históricamente credenciales predeterminadas en PLCs y HMIs. Una advertencia conjunta DoD/CISA de junio de 2025 documentó esta TTP explícitamente. Las organizaciones que utilizan equipos de control industrial manufacturados en Israel en todo el mundo tienen un riesgo elevado.
RIESGO CRÍTICO | Las organizaciones en energía, agua, servicios financieros y cadenas de suministro de defensa deben tratar el período de silencio actual como una ventana para buscar puntos de apoyo preposicionados de APT iraníes, no como una señal de amenaza reducida. |
Recomendaciones defensivas para organizaciones
Dadas las dinámicas actuales de amenazas, las organizaciones, especialmente aquellas en infraestructura crítica, servicios financieros, cadenas de suministro de defensa y cualquier entidad con lazos comerciales con Israel o Estados Unidos, deben tomar las siguientes acciones inmediatamente:
Acciones inmediatas (0–30 días)
• Búsqueda de amenazas para IOCs y TTPs de APT iraníes conocidos utilizando indicadores publicados. Asumir que puede existir acceso preposicionado en entornos de alto valor.
• Auditar todos los activos expuestos a internet, dispositivos VPN y puertas de acceso remoto en busca de cuentas no autorizadas, cambios de configuración y señales de compromiso de credenciales. Parchear de manera urgente contra CVEs explotados por Irán.
• Enforzar MFA resistente al phishing en todas las cuentas de Google, Microsoft 365 y SSO empresarial. APT35/Charming Kitten ha convertido la recolección de credenciales a través de páginas de inicio de sesión falsas en su vector principal de acceso inicial.
• Suspender o monitorear de cerca el tráfico de nodos de salida de VPN comercial. Aquí puedes ver una actividad de interés.
• Asegurar al menos una copia de datos críticos almacenados fuera de línea (separado de la red) para mitigar contra el despliegue de malware destructivo.
Acciones a medio plazo (30–90 días)
• Definir y ensayar manuales de escalación coherentes con la guía "Shields Up" de CISA. Incluir criterios específicos para postura de monitoreo elevada, congelación de cambios y aumento de personal.
• Implementar controles de acceso condicional y de sesión para mitigar ataques adversario-en-medio (AiTM) y de robo de token, que siguen siendo una técnica de acceso inicial clave de APT iraní.
• Para entornos OT/ICS: verificar que no quedan credenciales predeterminadas de fábrica en PLCs, HMIs o interfaces SCADA. Segmentar redes industriales del IT corporativo y deshabilitar servicios expuestos a internet no esenciales.
• Alinearse de manera continua con avisos de DHS, ENISA, NCSC y ISAC específicos del sector. Integrar IOCs y firmas de TTP actualizadas en la ingeniería de detección SIEM de manera continua.
La visibilidad reducida de la actividad APT patrocinada por el estado iraní tras la Operación Roaring Lion y la Operación Epic Fury es real, pero es situacional y temporal. Las causas son estructurales: pérdida de conectividad dentro de Irán superior al 96 por ciento, decapitación de liderazgo senior de IRGC y MOIS, cambio a modo de espera y observación, y el valor estratégico de no quemar el acceso preposicionado restante prematuramente. La capa hacktivista proxy está cubriendo el vacío rápidamente con ruido, pero no con las campañas destructivas y de larga duración que han definido el arte APT iraní.
Irán se ha reconstruido de retrocesos estratégicos antes. Tras Stuxnet, emergió con capacidades que llevaron a Saudi Aramco fuera de línea, paralizaron Sands Casino y apuntaron a infraestructura financiera de EE.UU. con campañas DDoS sostenidas. Tras el asesinato de Suleimani, sus actores cibernéticos se adaptaron, expandieron su superficie objetiva y construyeron relaciones con ecosistemas de ransomware para ingresos adicionales y negación. No hay razón para esperar un resultado diferente esta vez.
La ventana entre ahora y la reconstitución cibernética de Irán no es un alto al fuego. Es una oportunidad finita y preciosa para que los defensores busquen, endurezcan y se preparen para el futuro. Las organizaciones que traten este período como un retorno a la normalidad se encontrarán mal preparadas cuando el señal regrese más fuerte y más sofisticado que nunca. En ese punto, el tiempo puede que ya no sea un factor perdonador.
EVALUACIÓN DE CIERRE | Los defensores que leen silencio como seguridad están haciendo un error de categoría. El ecosistema APT iraní no está derrotado, está reorganizándose. La pregunta no es si se reconstituye, sino cuánto tiempo lleva eso y qué tan preparados están los defensores cuando lo hace. |
Reserva una consulta gratuita sobre postura de seguridad, gestión de inteligencia de amenazas, monitoreo de infraestructura, seguridad OT y cumplimiento de IEC 62443, aquí.
Recursos adicionales
Aviso de amenaza cibernética sobre la crisis de Irán.
Lista de verificación de implementación y validación basada en IEC 62443
Lista de verificación de cumplimiento de NERC CIP-015-1 y rastreador de KPI
Estado de la seguridad OT: Puertos comunes ICS/SCADA/PLC expuestos a Internet
Recibe semanalmente
Recursos y Noticias
También te puede interesar
How Iranian threat actors are operating without connectivity
Prayukth K V
As global conflicts escalate, APT playbooks are quietly changing
Prayukth K V
Iranian threat actors return; actually they never left
Prayukth K V
NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS
Equipo Shieldworkz
Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos
Prayukth K V
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
