Investigadores de Check Point Research, la División de Inteligencia de Amenazas del proveedor de ciberseguridad a nivel mundial, han llevado a cabo una investigación que ha revelado que el Gobierno iraní sigue vigilando y lanzando ciberataques contra los disidentes del régimen, tanto dentro de sus fronteras como en otros países del mundo.

Con la colaboración de SafeBreach, los investigadores de la compañía han podido descubrir cómo se producían esta serie de ataques cibernéticos contra más de 1.200 víctimas -en su mayoría disidentes, fuerzas opositoras al régimen, seguidores del ISIS y minorías kurdas-en Irán, Estados Unidos, Gran Bretaña, Pakistán, Afganistán, Turquía y Uzbekistán.

Ya en 2018, la compañía desveló la campaña Domestic Kitten, en la que se descubrió que el Gobierno iraní se encontraba detrás de una decena de ciberataques (cuatro de ellos todavía se encuentran en activo) cuyo propósito era llevar a cabo tareas de espionaje y vigilancia sobre objetivos específicos. Tras estos ataques se encontraba el grupo de ciberdelincuentes conocido como APT-C-50, capaz de infectar más de 600 dispositivos, que espiaba los teléfonos móviles de los disidentes, recopilando registros y grabaciones de llamadas telefónicas, mensajes, fotografías, vídeos, datos del GPS y un listado de aplicaciones descargadas.

Los investigadores de Check Point señalan que los atacantes engañaban a las víctimas para que se descargasen una aplicación aparentemente inofensiva, pero que en realidad estaba infectada con el malware Domestic Kitten. Para ello, utilizaban múltiples vectores de ataque como blogs, canales de Telegram y mensajes de texto (SMS) con un enlace de descarga. Asimismo, para ganarse la confianza de la víctima, los ciberdelincuentes ocultaban el software malicioso en distintos servicios y aplicaciones aparentemente inofensivas, entre las que se encuentran:

• VIPRE Mobile Security – Una falsa aplicación de seguridad para móviles

• ISIS Amaq – Un medio de comunicación de la agencia de noticias Amaq

• Exotic Flowers – Una versión reempaquetada de un juego de Google Play

• MyKet – Una tienda de aplicaciones para Android

• Iranian Woman Ninja – Una aplicación de fondos de pantalla

• Aplicación Mohen Restaurant – Un restaurante en Teherán

Infy, el heredero de Domestic Kittens que espía a través del ordenador

La nueva investigación llevada a cabo por Check Point Research junto con SafeBreach ha identificado un nuevo grupo de ciberdelincuentes, conocido como Infy, que espía a sus víctimas extrayendo información sensible de ordenadores personales y equipos corporativos. Entre los archivos que utilizaban como gancho, se encontraba una foto de Mojtaba Biranvand, el gobernador de la ciudad de Dorud (Lorestan, Irán) que incluye información sobre su oficina y su supuesto número de teléfono. Asimismo, otro de los ganchos utilizados era una imagen del logotipo de ISAAR, la Fundación de Asuntos de Mártires y Veteranos patrocinada por el gobierno iraní, que concede préstamos a veteranos discapacitados. El texto de ambos documentos estaba escrito en persa.

Los investigadores destacan que tanto Domestic Kittens como Infy se encuentran en activo en la actualidad, aunque señalan que el funcionamiento de esta última ha sido intermitente desde 2007. Asimismo, revelan que el potencial tecnológico de Infy es muy superior al del resto de las campañas iraníes conocidas hasta el momento, ya que sólo ataca a un grupo reducido de objetivos y cuenta con funcionalidades especiales para no ser detectado ni interrumpido.

«Los indicios obtenidos tras esta investigación demuestran que el gobierno iraní está llevando a cabo operaciones cibernéticas. Aunque las dos campañas destacadas ya eran conocidas, hemos conseguido encontrar nuevas pruebas de su actividad reciente. Los atacantes que están detrás de estas campañas burlan todos los procesos de control para detectar y detener sus ataques: aprenden del histórico, modifican sus tácticas y dejan pasar un tiempo antes de volver a las andadas”, señala Yaniv Balmas, Jefe de Investigación de Check Point. “El gobierno iraní está destinando una gran cantidad de recursos para fortalecer su control, algo que queda reflejado en nuestra investigación, que muestra por primera vez varias de las técnicas empleadas en estas campañas. Todo esto pone de manifiesto lo peligroso que puede llegar a ser un ciberataque dirigido por un país, así como la importancia de extremar las precauciones y contar con medidas de seguridad en cualquier dispositivo conectado a internet”, concluye Balmas.