La Operación Epic Fury ha desencadenado una respuesta lenta pero persistente de actores de amenazas iraníes como Charming Kitten, MuddyWater, OilRig, Agrius y Cotton Sandstorm. Todos estos grupos están activos en el momento de escribir y el lento y gradual aumento en el ritmo operativo de estos actores desde que la crisis comenzó indica más sobre los objetivos operacionales de las entidades de amenazas cibernéticas iraníes que lo que se ha discutido en la web.

Los grupos APT iraníes se han vuelto cada vez más agresivos y adaptativos en las últimas semanas (posiblemente estaban en espera). Sus operaciones ya no se limitan a desfiguraciones o phishing oportunista o simplemente atacar objetivos no tan significativos. En cambio, ahora están integrados estrechamente en el libro de jugadas geopolítico de Teherán, sirviendo como una capa adicional de postura ofensiva así como disuasión defensiva. Aquí hay un análisis estructurado de sus actividades, técnicas de comercio y implicaciones para las empresas regionales, especialmente los operadores de entornos de tecnología operativa (OT).

Antes de avanzar, no olvides revisar nuestra publicación de blog anterior sobre “Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo” aquí.  

Grupos APT iraníes: Escalada desde la crisis

El 28 de febrero de 2026, Estados Unidos e Israel lanzaron ataques coordinados bajo la Operación Epic Fury / Roaring Lion, desencadenando lo que podría ser referido como la convergencia más compleja de guerra cinética y operaciones cibernéticas que la región de Medio Oriente haya presenciado.

La Arquitectura del Poder Cibernético Iraní

El ejército cibernético de Irán está diseñado de una manera muy única. A diferencia de sus homólogos en Rusia y China, que son gestionados operacionalmente exclusivamente por entidades estatales, los grupos APT iraníes tienen una capa de liderazgo redundante que se activa durante tiempos de conflicto o emergencia. Durante tales situaciones, esta capa de liderazgo que comprende una mezcla de hackers veteranos respaldados por el estado y exagentes de inteligencia ofrece liderazgo transitorio para asegurar la continuidad operacional.   

Después de casi una década y media de inversiones sostenidas y aprendizaje, Irán ahora tiene una capacidad cibernética madura, de doble vía que comprende un nivel APT patrocinado por el estado controlado por el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) y el Ministerio de Inteligencia y Seguridad (MOIS), y un ecosistema en expansión de proxies hacktivistas o afiliados que proporcionan escala operacional, opciones de objetivos y denegación plausible simultáneamente.

Tal distinción es enormemente importante para los defensores. El IRGC dirige grupos que están fundamentalmente orientados hacia el sabotaje, acceso a infraestructura crítica, manipulación de redes y operaciones psicológicas. MOIS sirve como colector de inteligencia para el aparato de inteligencia estatal. Ambas agrupaciones de actores comparten herramientas, infraestructura e incluso, en algunos casos, objetivos. Cuando escuchas sobre MuddyWater estableciendo acceso inicial en una entidad de energía regional, hay un patrón documentado de OilRig siguiéndolo para realizar exfiltración sostenida o para cubrir las huellas.

Perfiles de actores de amenaza: Los jugadores activos

A la fecha de esta escritura, los siguientes grupos representan los actores más activamente operativos y tácticamente relevantes en el entorno de crisis actual:

OilRig (APT34) aka Helix Kitten / Earth Simnavaz / Cobalt Gypsy

Afiliación: MOIS

El brazo de espionaje más persistente de Irán. Activo desde 2014, OilRig apunta a sectores de energía, gobierno y finanzas en todo el Medio Oriente con un mandato de recolección de inteligencia prolongado. Para 2025, el grupo se cambió significativamente hacia rutas de ataque nativas de la nube, utilizando cuentas de Microsoft 365 comprometidas y mecanismos de persistencia de Azure para mantener el acceso. Sus herramientas ahora incluyen cuatro nuevos descargadores personalizados, a saber, OilBooster, OilCheck, ODAgent y SC5k. Todos usan APIs de nube legítimas de Microsoft (OneDrive, Graph, Exchange EWS) como canales de C2 encubiertos. El abuso deliberado de servicios confiables de nube hace que la detección sea extraordinariamente difícil sin análisis del comportamiento.

MuddyWater

Afiliación: MOIS

El grupo iraní más activo operacionalmente en la ventana de crisis actual. Sus TTPs mezclan técnicas de vivir de la tierra (LOtL) PowerShell, abuso de RDP, Mimikatz con herramientas legítimas como SimpleHelp y Atera RMM para acceso remoto persistente. El backdoor Aclip, que abusa del API de Slack para C2, representa su disposición para utilizar plataformas de SaaS de confianza.

APT42 / Charming Kitten aka TA453 / Mint Sandstorm / Educated Manticore

Afiliación: IRGC-IO

La máquina de recolección de inteligencia humana. APT42 no va en amplitud, va en profundidad. Periodistas, investigadores, expertos en política, académicos y activistas de la diáspora son objetivos a través de meses de cultivo de relaciones antes de que ocurra cualquier intrusión técnica. Check Point Research observó campañas de ingeniería social multicanal que utilizan aplicaciones de mensajería para canalizar objetivos hacia kits de cosecha de credenciales. En el entorno actual, este grupo está apuntando activamente a personas con acceso privilegiado: periodistas que cubren el conflicto, analistas en contratistas de defensa y cualquier persona cercana a los tomadores de decisiones.

CyberAv3ngers aka Shahid Kaveh / IRGC Cyber Electronic Command

Afiliación: IRGC-IO

El especialista en OT. CyberAv3ngers representa la capacidad más directa de Irán contra sistemas de control industrial. Anteriormente vinculado a ataques contra PLCs de Unitronics en instalaciones de agua de EE.UU., han reutilizado recientemente infraestructura de C2 asociada con el marco de malware IOCONTROL — una herramienta personalizada centrada en OT diseñada para interactuar con PLCs, HMIs y componentes SCADA. Los documentos de inteligencia de Flashpoint afirmaron violaciones en una empresa de silos de granos jordana, incluida la supuesta manipulación de controles de temperatura y sistemas de pesaje. Ya sea completamente realizado o parcialmente fabricado, la intención de direccionamiento contra OT es indiscutible.

Cotton Sandstorm aka Haywire Kitten / Emennet Pasargad / MarnanBridge

[Afiliado al IRGC]

El operador de influencia de reacción rápida. La estrategia de Cotton Sandstorm combina desfiguración de sitios web, DDoS, secuestro de correos electrónicos y robo de datos con amplia operación de información inmediata. Su infostealer personalizado WezRat se entrega a través de campañas de spearphishing disfrazadas como actualizaciones de software urgentes. En algunos casos de objetivo israelí, las intrusiones fueron seguidas por la implementación del ransomware WhiteLock. Este grupo se mueve rápido — está diseñado para ritmo, no para sigilo.

[Proxy Hacktivista]

Evil 33

Formado el 28 de febrero de 2026, apenas horas después de los primeros ataques, Evil33 sirve como un centro de coordinación para células hacktivistas pro-iraníes. Este grupo, vinculado a MOIS, combina exfiltración de datos con direccionamiento operativo de organizaciones energéticas, de manufactura, defensa y salud israelíes. El análisis de mensajes de Telegram en 150 grupos muestra sincronización de tiempos de ataque con eventos cinéticos en el suelo y podemos decir con un nivel bastante alto de confianza que esto no es activismo espontáneo.

Tácticas, Técnicas y Procedimientos

Los TTPs de APT iraníes han evolucionado considerablemente haciéndose más sofisticados desde la era Shamoon. El cambio ahora es hacia el abuso de la nube, técnicas LOtL y operaciones asistidas por IA. Tales tácticas representan una adaptación deliberada a entornos defensivos modernos mientras aumentan las posibilidades de éxito.  

Acceso inicial (MITRE TA0001)

 Persistencia y mando más control (MITRE TA0003 / TA0011)

El kit de herramientas

Múltiples investigaciones han confirmado que CyberAv3ngers utiliza modelos GPT específicamente para realizar investigaciones de PLC, consultar documentación de controladores lógicos programables, superficies de ataque y vulnerabilidades de firmware. La IA está acelerando activamente el ritmo al que operadores menos técnicamente sofisticados pueden desarrollar capacidades de intrusión capaces en OT. La democratización de la investigación de ataque ICS es un cambio estructural, no una tendencia temporal.

Asesoría específica para operadores OT/ICS

Irán tiene un interés demostrado, activo y ahora comprometido operacionalmente en atacar tecnología operativa en todos los niveles y países. Esta no es una capacidad aspiracional. Las campañas Shamoon contra Saudi Aramco (2012, 2017) destruyeron 35,000 estaciones de trabajo. El ataque TRITON/TRISIS contra una instalación petroquímica de Arabia Saudita apuntó a Sistemas Instrumentados de Seguridad específicamente para causar daño físico. CyberAv3ngers han interrumpido operaciones de tratamiento de agua en Estados Unidos en el pasado.

El entorno de amenazas actual añade varias nuevas dimensiones a este patrón establecido. Infraestructura vinculada a Agrius fue observada activamente escaneando cámaras IP vulnerables en Israel durante el conflicto de junio de 2025. Esto fue probablemente para la evaluación de daño postataque (BDA). Cámaras en instalaciones energéticas, sistemas de seguridad física, subestaciones e infraestructura portuaria estaban en la mira. Este es un comportamiento de reconocimiento con una intención de direccionamiento físico.

Medidas de mitigación

Acciones inmediatas

·  Auditar todos los activos expuestos a Internet, incluidos VPNs, firewalls, Exchange/OWA, puertas de enlace RDP, y aplicar parches para todas las CVEs críticas

·  Llevar más privilegios de usuario bajo modo de aprobación y despliegue

· Forzar MFA resistente al phishing (FIDO2/llaves de hardware) en todas las cuentas M365, Google Workspace, y VPN. MFA basado en SMS es insuficiente

· Revisar y restringir acceso a herramientas RMM. Bloquear o requerir autorización explícita para todas las sesiones de gestión remota

· Extraer registros de auditoría M365 y buscar concesiones inusuales de aplicaciones OAuth, llamadas API de Graph y acceso EWS  

· Implementar o revisar cobertura de mitigación DDoS para todas las propiedades web de cara al público y portales operativos

Medidas a corto plazo

· Si utiliza PLCs Vision o UniStream de Unitronics, auditar inmediatamente para conexiones de red inesperadas e integridad del firmware. Verificar tráfico MQTT en puerto 8883 hacia IPs externas

· Verificar y validar la segmentación de red OT/IT — confirmar que la aplicación del modelo Purdue esté realmente implementada, no solo documentada

· Deshabilitar acceso remoto a cualquier sistema OT no requerido operacionalmente

· Realizar una inspección rápida de cámaras IP, HMIs y sistemas de seguridad conectados a la red para credenciales predeterminadas y puertos abiertos

·  Instruir a operadores de campo sobre concienciación en ingeniería social. Esa oferta de trabajo podría ser una trampa

Qué buscar

· Aumento en consultas DNS a dominios desconocidos Túneles DNS de OilRig. Implementar registro DNS y detección de anomalías

· Ejecución inesperada de PowerShell, especialmente comandos codificados (Base64). Habilitar registro de bloques de script y AMSI

· Conexiones salientes inesperadas hacia OneDrive, SharePoint o Exchange desde procesos no estándar

· Nuevas cuentas de administrador local o cuentas de servicio creadas fuera de ventanas de gestión de cambios

· Llamadas API de Telegram desde estaciones de trabajo y servidores

· Eliminación de copia sombra de volumen o enumeración de disco en horarios anormales — precursor para implementación de borrador

 Otras recomendaciones

·  Realizar una evaluación de riesgo provisional en su infraestructura cubriendo controles y gobernanza

· Suscribirse a un feed de inteligencia de amenazas que cubra IOCs de APT iraníes   

· Realizar un ejercicio de respuesta a incidentes simulando una intrusión de MuddyWater alcanzando su red OT. Probar respuestas y eficiencia

· Asegurarse de que su plan de respuesta a incidentes cubra explícitamente escenarios de malware destructivo (borrador)

· Colaborar con su OEM/proveedores para fortalecer la seguridad de la cadena de suministro

· Estar atento a filtraciones en la web oscura y preparar a su equipo de comunicaciones para potenciales operaciones de hackeo y filtración

 Debe notarse que Irán frecuentemente exagera el impacto de sus ciberataques para efecto psicológico. Pero eso no debe disuadirlo de elevar sus niveles de seguridad. Al mismo tiempo, no descarte DDoS y desfiguración como 'de bajo impacto.' Tales ataques podrían ser el inicio de una campaña más amplia que podría bien involucrar sistemas OT y recuperación prolongada. La mejor opción disponible es poner en orden sus defensas y estar preparado.

Reserve una consulta gratuita sobre postura de seguridad, gestión de inteligencia de amenazas, monitoreo de infraestructura, seguridad OT y cumplimiento de IEC 62443, aquí.

Recursos adicionales
Consejo sobre amenazas cibernéticas en la crisis de Irán.

Implementación y lista de verificación de validación de zonificación basada en IEC 62443

Lista de verificación de cumplimiento NERC CIP-015-1 y rastreador KPI

Estado de la Seguridad OT: Puertos comunes ICS/SCADA/PLC expuestos a Internet