La Operación Furia Épica ha desencadenado una respuesta lenta pero persistente por parte de actores de amenazas iraníes como Charming Kitten, MuddyWater, OilRig, Agrius y Cotton Sandstorm. Todos estos grupos están activos al momento de escribir esto, y el aumento lento y gradual en el tempo operativo de estos actores desde que comenzó la crisis indica más sobre los objetivos operativos de las entidades de amenazas cibernéticas iraníes de lo que se ha discutido en la web.

Los grupos APT iraníes se han vuelto cada vez más agresivos y adaptativos en las últimas semanas (posiblemente estaban en espera). Sus operaciones ya no se limitan a desfiguraciones o phishing oportunista o simplemente atacar objetivos no tan significativos. En su lugar, ahora están estrechamente integrados en el libro de jugadas geopolítico de Teherán, sirviendo como una capa adicional de posicionamiento ofensivo así como de disuasión defensiva. Aquí se encuentra un análisis estructurado de sus actividades, habilidades, e implicaciones para las empresas regionales, especialmente operadores de entornos de tecnología operativa (OT).

Antes de seguir adelante, no olvides revisar nuestra publicación anterior del blog sobre “Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo” aquí.  

Grupos APT iraníes: Escalación desde la crisis

El 28 de febrero de 2026, Estados Unidos e Israel lanzaron ataques coordinados bajo la Operación Furia Épica / León Rugiente, desencadenando lo que podría considerarse la convergencia más compleja de operaciones cinéticas y cibernéticas que la región de Medio Oriente haya presenciado.

La Arquitectura del Poder Cibernético Iraní

El ejército cibernético de Irán está diseñado de una manera muy única. A diferencia de sus contrapartes en Rusia y China, que son gestionadas operativamente exclusivamente por entidades estatales, los grupos APT iraníes tienen una capa de liderazgo redundante que se activa durante tiempos de conflicto o emergencia. Durante tales situaciones, esta capa de liderazgo, que comprende una mezcla de hackers veteranos respaldados por el estado y ex agentes de inteligencia, ofrece liderazgo transitorio para asegurar la continuidad operativa.   

Después de casi una década y media de inversiones sostenidas y aprendizaje, Irán ahora tiene una capacidad cibernética madura de doble vía que comprende un nivel APT patrocinado por el estado controlado por el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) y el Ministerio de Inteligencia y Seguridad (MOIS), y un ecosistema en expansión de apoderados o afiliados hacktivistas que ofrecen escala operativa, opciones de orientación y deniabilidad plausible simultáneamente.

Dicha distinción es de enorme importancia para los defensores. El IRGC dirige grupos que están fundamentalmente orientados hacia el sabotaje, acceso a infraestructuras críticas, manipulación de redes y operaciones psicológicas. MOIS sirve como colector de inteligencia para el aparato de inteligencia estatal. Ambos grupos de actores comparten herramientas, infraestructura e incluso, en algunos casos, objetivos. Cuando escuchas sobre MuddyWater estableciendo acceso inicial a una entidad energética regional, hay un patrón documentado de OilRig siguiendo para realizar exfiltración sostenida o cubrir las huellas.

Perfiles de actores de amenazas: Los jugadores activos

Al momento de escribir esto, los siguientes grupos representan los actores más operativamente activos y tácticamente relevantes en el actual entorno de crisis:

OilRig (APT34), también conocido como Helix Kitten / Earth Simnavaz / Cobalt Gypsy
Afiliación: MOIS
El brazo de espionaje más persistente de Irán. Activo desde 2014, OilRig apunta a sectores de energía, gobierno y finanzas en todo el Medio Oriente con un mandato de recolección de inteligencia a largo plazo. Para 2025, el grupo cambió significativamente hacia rutas de ataque nativas en la nube, utilizando cuentas comprometidas de Microsoft 365 y mecanismos de persistencia de Azure para mantener el acceso. Ahora su arsenal incluye cuatro nuevos descargadores personalizados, a saber, OilBooster, OilCheck, ODAgent y SC5k. Todos usan API de Microsoft en la nube legítimas (OneDrive, Graph, Exchange EWS) como canales C2 encubiertos. El abuso deliberado de servicios en la nube de confianza hace que la detección sea extraordinariamente difícil sin análisis de comportamiento.

MuddyWater
Afiliación: MOIS
El grupo iraní más operativamente activo en la actual ventana de crisis. Sus TTPs mezclan técnicas de vivir de la tierra (LOtL) como PowerShell, abuso de RDP, Mimikatz con herramientas legítimas como SimpleHelp y Atera RMM para acceso remoto persistente. El backdoor Aclip, que abusa del API de Slack para C2, representa su disposición a utilizar plataformas SaaS de confianza.

APT42 / Charming Kitten, también conocido como TA453 / Mint Sandstorm / Educated Manticore
Afiliación: IRGC-IO

La máquina de colección de inteligencia humana. APT42 no va a lo ancho, va a lo profundo. Periodistas, investigadores, expertos en políticas, académicos y activistas de la diáspora son objetivo a través de meses de cultivo de relaciones antes de que ocurra cualquier intrusión técnica. Check Point Research ha observado campañas multicanal de ingeniería social que utilizan aplicaciones de mensajería para llevar a los objetivos a kits de cosecha de credenciales. En el entorno actual, este grupo está activamente orientado a individuos con acceso privilegiado: periodistas cubriendo el conflicto, analistas en contratistas de defensa y cualquiera con proximidad a quienes toman decisiones.

CyberAv3ngers, también conocido como Shahid Kaveh / Comando Cibernético Electrónico del IRGC

Afiliación: IRGC-IO
El especialista OT. CyberAv3ngers representa la capacidad iraní más directa contra sistemas de control industrial. Anteriormente vinculado a ataques contra PLCs Unitronics en instalaciones de agua de EE.UU., han reutilizado recientemente infraestructura C2 asociada con el marco de malware IOCONTROL: una herramienta personalizada enfocada en OT diseñada para interactuar con PLCs, HMIs y componentes SCADA. Documentos de inteligencia de Flashpoint afirmaron violaciones a una empresa de silos de grano en Jordania, incluyendo supuesta manipulación de controles de temperatura y sistemas de pesaje. Ya sea completamente realizado o parcialmente fabricado, la intención de ataque contra OT es inconfundible.

Cotton Sandstorm, también conocido como Haywire Kitten / Emennet Pasargad / MarnanBridge

Afiliación: IRGC
El operador de influencia de reacción rápida. El libro de jugadas de Cotton Sandstorm combina desfiguración de sitios web, DDoS, secuestro de correos electrónicos y robo de datos con amplificación inmediata de operaciones de información. Su stealer de información personalizado WezRat se entrega a través de campañas de spearphishing que se hacen pasar por actualizaciones de software urgentes. En algunos casos de objetivos israelíes, las intrusiones fueron seguidas por la implementación del ransomware WhiteLock. Este grupo se mueve rápido: está diseñado para el tempo, no para el sigilo.

[Proxy Hacktivista]

Evil 33

Formado el 28 de febrero de 2026, apenas unas horas después de los primeros ataques, Evil33 sirve como un centro de coordinación para células hacktivistas pro-iraníes. Este grupo, vinculado a MOIS, combina exfiltración de datos con orientación operativa de organizaciones israelíes de energía, manufactura, defensa y atención médica. El análisis de mensajes de Telegram en 150 grupos muestra la sincronización de los ataques con eventos cinéticos en el terreno y podemos decir con un nivel bastante alto de confianza que esto no es activismo espontáneo.

Tácticas, Técnicas y Procedimientos

Los TTPs de APT iraníes han evolucionado considerablemente y se han vuelto más sofisticados desde la era de Shamoon. El cambio ahora es hacia el abuso de la nube, técnicas LOtL y operaciones asistidas por IA. Tales tácticas representan una adaptación deliberada a los entornos defensivos modernos al tiempo que aumentan las posibilidades de éxito.  

Acceso inicial (MITRE TA0001)

 Persistencia y comando más control (MITRE TA0003 / TA0011)

 El conjunto de herramientas

Investigaciones múltiples han confirmado que CyberAv3ngers utiliza modelos GPT específicamente para realizar investigaciones sobre PLC, consultar documentación de controladores lógicos programables, superficies de ataque y vulnerabilidades de firmware. La IA está acelerando activamente el ritmo al que los operadores menos sofisticados técnicamente pueden desarrollar capacidades de intrusión capaces de OT. La democratización de la investigación de ataques a sistemas de control industrial es un cambio estructural, no una tendencia temporal.

Consejo específico para operadores OT/ICS

Irán ha demostrado, está activo y ahora tiene un interés operativamente comprometido en atacar la tecnología operativa a través de niveles y países. Esto no es una capacidad aspiracional. Las campañas Shamoon contra Saudi Aramco (2012, 2017) destruyeron 35,000 estaciones de trabajo. El ataque TRITON/TRISIS contra una instalación petroquímica saudí apuntó específicamente a Sistemas de Seguridad Instrumentada para causar daño físico. CyberAv3ngers han interrumpido operaciones de tratamiento de agua en EE.UU. en el pasado.

El entorno actual de amenazas agrega varias nuevas dimensiones a este patrón establecido. Se observó infraestructura vinculada a Agrius escaneando activamente cámaras IP vulnerables en todo Israel durante el conflicto de junio de 2025. Esto probablemente fue para evaluación de daño posterior al ataque (BDA). Cámaras en instalaciones de energía, sistemas de seguridad física, subestaciones y infraestructura portuaria estaban en el alcance. Este es un comportamiento de reconocimiento con una intención de enfoque físico.

Medidas de mitigación

Acciones inmediatas

· Auditar todos los activos orientados a Internet, incluidos VPNs, firewalls, Exchange/OWA, puertas de enlace RDP y aplicar parches para todos los CVEs críticos

· Traer más privilegios de usuario bajo el modo de aprobar y desplegar

· Impulsar MFA resistente a phishing (FIDO2/claves de hardware) en todas las cuentas M365, Google Workspace y VPN. MFA basado en SMS es insuficiente

· Revisar y restringir el acceso a herramientas RMM. Bloquear o requerir autorización explícita para todas las sesiones de gestión remota

· Extraer los registros de auditoría de M365 y buscar concesiones anómalas de aplicaciones OAuth, llamadas de API de Graph y acceso EWS  

· Implementar o revisar la cobertura de mitigación DDoS para todas las propiedades web públicas y portales operacionales

Medidas a corto plazo

· Si se ejecutan PLCs Unitronics Vision o UniStream, auditar de inmediato para conexiones de red inesperadas e integridad del firmware. Verificar tráfico MQTT en el puerto 8883 hacia IPs externas

· Verificar y validar la segmentación de red OT/IT — confirmar que el modelo Purdue realmente esté aplicado, no solo documentado

· Deshabilitar el acceso remoto a cualquier sistema OT que no sea operacionalmente requerido

· Realizar una inspección rápida de cámaras IP, HMIs y sistemas de seguridad conectados a la red para credenciales predeterminadas y puertos abiertos

· Informar a los operadores de campo sobre la conciencia en ingeniería social. Esa oferta de trabajo puede ser una trampa

Cosas a tener en cuenta

· Aumento en consultas DNS a dominios desconocidos de túnel DNS de OilRig. Implementar registro DNS y detección de anomalías

· Ejecución inusual de PowerShell, especialmente comandos codificados (Base64). Habilitar Script Block Logging y AMSI

· Conexiones salientes inesperadas a OneDrive, SharePoint o Exchange desde procesos no estándar

· Nuevas cuentas de administrador local o cuentas de servicio creadas fuera de las ventanas de gestión de cambios

· Llamadas API de Telegram desde estaciones de trabajo y servidores

· Eliminación de copias de volumen sombra o enumeración de discos a horas anormales — precursor a la implementación de un wiper

 Otras recomendaciones

· Realizar una evaluación de riesgo provisional en su infraestructura que cubra controles y gobernanza

· Suscribirse a un feed de inteligencia de amenazas que cubra IOCs de APT iraníes   

· Realizar un ejercicio de respuesta a incidentes simulando una intrusión de MuddyWater alcanzando su red OT. Probar respuestas y eficiencia

· Asegurar que su plan de respuesta a incidentes cubra explícitamente escenarios de malware destructivo (wiper)

· Colaborar con su OEM/proveedores para fortalecer la seguridad de la cadena de suministro

· Mantener un ojo en filtraciones en la Dark Web y preparar a su equipo de comunicaciones para potenciales operaciones de hack-and-leak

Debe tenerse en cuenta que Irán frecuentemente exagera el impacto de sus ciberataques para efectos psicológicos. Pero eso no debería desalentarlo de elevar sus niveles de seguridad. Al mismo tiempo, no desestime DDoS y desfiguración como de 'bajo impacto'. Tales ataques podrían ser el comienzo de una campaña más grande que bien podría involucrar sistemas OT y recuperación prolongada. La mejor opción disponible es poner sus defensas en orden y estar preparado.

Reserva una consulta gratuita sobre postura de seguridad, gestión de inteligencia de amenazas, monitoreo de infraestructura, seguridad OT y cumplimiento IEC 62443, aquí.

Recursos adicionales
Asesoría de amenazas cibernéticas sobre la crisis iraní.

Lista de Verificación de Implementación y Validación Basada en IEC 62443

Lista de Verificación de Cumplimiento NERC CIP-015-1 y Rastreador de KPI

Estado de la Seguridad OT: Puertos Comunes ICS/SCADA/PLC expuestos a Internet