Evolución de las ciberamenazas iraníes: de los wipers de MBR a la militarización de la identidad

Los recientes ciberataques atribuidos a actores de amenazas iraníes se extienden más allá de la interrupción típica de las redes. En lugar de ser incidentes aislados de sabotaje, este tipo de ataques se sitúa en un contexto más amplio, definido por la dependencia de Irán de las represalias asimétricas y su histórica doctrina de intermediarios (proxy). Los actores de amenazas alineados con Irán aprovechan cada vez más el ciberespacio como un ecualizador estratégico.

Para el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) y el Ministerio de Inteligencia y Seguridad (MOIS), las operaciones cibernéticas proporcionan un mecanismo de represalia de bajo costo y alto impacto sin cruzar fronteras geográficas. En este entorno, las organizaciones globales enfrentan un mayor riesgo cibernético, ya que el despliegue tradicional de malware se cruza con el novedoso abuso de identidades. El cambio de malware de borrado (wiper) personalizado al abuso administrativo nativo elimina una barrera de detección crítica que históricamente protegía a las redes empresariales.

De los binarios personalizados al abuso de identidades

El cambio táctico actual de los actores cibernéticos iraníes se debe menos a una falta de capacidad para desarrollar malware que a las ventajas estratégicas de las técnicas de "vivir de la tierra" (Living-off-the-Land o LotL). Las operaciones diseñadas para causar interrupciones han experimentado un cambio desde 2023: en lugar de depender en gran medida de herramientas hechas a medida (bespoke), los métodos empleados ahora forman parte de una tendencia mayor hacia una escala más amplia y una mejor evasión.

Durante los recientes incidentes con wipers, los actores de amenazas que operan bajo la identidad de Void Manticore (Handala) no desplegaron un wiper de día cero (zero-day) ni malware compilado tradicional. En su lugar, los atacantes comprometieron identidades con altos privilegios, enviando comandos legítimos de borrado remoto (remote-wipe) a más de 200,000 dispositivos a nivel mundial.

Este cambio de binarios personalizados al abuso administrativo ayuda a explicar la dinámica actual. En este contexto, las amenazas persistentes avanzadas (APT) iraníes parecen considerar cada vez más las herramientas administrativas empresariales no solo como infraestructura de TI, sino también como activos militarizables en un marco disruptivo más amplio. Esta distinción es fundamental para comprender cómo los actores alineados con el Estado iraní perciben las plataformas de gestión de dispositivos móviles (MDM) no como herramientas de gestión, sino como vectores de ataque de alto impacto que eluden la telemetría tradicional de detección y respuesta en endpoints (Endpoint Detection and Response o EDR).

Ascendiendo en la escala de escalada

Ya en 2012 y 2016, los actores iraníes lanzaron operaciones disruptivas significativas en toda la región. Al rastrear la historia de sus represalias cibernéticas contra supuestas ofensas geopolíticas, vemos un patrón claro y creciente de capacidad e intención durante la última década entre los grupos vinculados al IRGC y al MOIS.

Los instrumentos rudimentarios (2016–2019)

Durante este período, grupos de actores de amenazas como Curious Serpens (APT33, Elfin) y Evasive Serpens (APT34, OilRig) atacaron la infraestructura de TI con malware de borrado de discos de alta visibilidad.

• Resurgimiento de Shamoon: Tras su debut inicial en 2012, se desplegaron Shamoon 2 y Shamoon 3 contra entidades en el Medio Oriente. Estos ataques utilizaron spearphishing (phishing dirigido) para obtener el acceso inicial, confiando finalmente en el controlador Eldos RawDisk para eludir las API de Windows y sobrescribir el registro de arranque principal (Master Boot Record o MBR).
• ZeroCleare y Dustman: Desplegados intensamente contra los sectores energético e industrial, wipers como ZeroCleare y su sucesor Dustman reflejaron la dependencia de Shamoon de controladores legítimos modificados para lograr efectos destructivos.

En esta era, los actores iraníes priorizaron las represalias visibles por encima del sigilo. Sus ciberataques proyectaron poder e infligieron la máxima inmovilización operativa.

Cortina de humo de ransomware: negación plausible y compromiso de la cadena de suministro (2020–2022)

A medida que se intensificaba el escrutinio, los actores de amenazas iraníes adaptaron su manual operativo para introducir la negación plausible. El enfoque estratégico pasó del sabotaje abierto, patrocinado por el Estado, a imitar el ciberdelito con fines financieros. Este giro táctico fue encabezado principalmente por el grupo de actores de amenazas Agonizing Serpens (Agrius).

• La suite de wipers de Agonizing Serpens (Apostle y Fantasy): En lugar de depender del spearphishing tradicional, Agonizing Serpens explotó con frecuencia vulnerabilidades conocidas de un día (one-day) en aplicaciones web orientadas al público para instalar shells web (web shells) personalizadas. Una vez establecido el acceso inicial, el grupo desplegó cargas útiles (payloads) diseñadas para desdibujar las líneas entre el espionaje y la extorsión.
• Evolución de Apostle: Inicialmente observado como un wiper puro disfrazado de una operación de ransomware, las primeras versiones de Apostle carecían de la capacidad real para descifrar archivos, lo que indicaba que la destrucción de datos era la intención principal. Sin embargo, las variantes posteriores se actualizaron para funcionar como ransomware legítimo, lo que complicó la atribución y retrasó los esfuerzos de respuesta a incidentes al obligar a los defensores a tratar el evento como un incidente de ciberdelincuencia estándar.
• Explotación de la cadena de suministro: El despliegue del wiper Fantasy representó una escalada significativa en la metodología de selección de objetivos de Agrius. Al comprometer a un desarrollador de software israelí externo de confianza, los actores de amenazas ejecutaron un ataque a la cadena de suministro que afectó a víctimas descendentes en múltiples sectores globales.

Hacerse pasar por un sindicato de ransomware ofreció una ventaja estratégica crítica a los actores cibernéticos iraníes al ocultar su alineación estatal, logrando al mismo tiempo interrumpir el negocio y causar daño económico.

El hacktivismo como fachada: operaciones psicológicas y destrucción multiplataforma (2023–2025)

Entre 2023 y 2025, el panorama de las amenazas cambió una vez más. El modelo tradicional de APT dio paso a un aumento de identidades hacktivistas dirigidas por el Estado. Grupos como Void Manticore y Handala Hack Team operaron abiertamente en plataformas como Telegram, aprovechando ataques destructivos como componente de operaciones psicológicas y guerra de información más amplias.

• Wipers BiBi, Hatef y Hamsa: El surgimiento de estas familias de malware destacó una evolución técnica crítica: la capacidad multiplataforma. Mientras que los wipers anteriores se centraban estrictamente en Windows, los actores de amenazas desplegaron el wiper Hatef basado en .NET para entornos Windows, junto con los wipers Hamsa y BiBi basados en Bash dirigidos a servidores Linux.
• Destrucción a nivel de archivos: Técnicamente, estas variantes se alejaron de las complejas técnicas de borrado de MBR de la era de Shamoon. En su lugar, optaron por una destrucción de archivos rápida y recursiva, sobrescribiendo los archivos seleccionados con bloques de 4096 bytes de datos aleatorios.
• MultiLayer y BFG Agonizer: Concurrentemente, despliegues colaborativos entre Agonizing Serpens y Boggy Serpens (también conocido como MuddyWater) introdujeron wipers altamente modulares como MultiLayer y BFG Agonizer. Estas operaciones abusaron con frecuencia de herramientas legítimas de monitoreo y gestión remota (Remote Monitoring and Management o RMM) para distribuir las cargas útiles a gran escala.

Durante este período, los wipers se convirtieron en solo un componente de un modelo de amenaza híbrido. Los despliegues destructivos se combinaron constantemente con una exfiltración de datos agresiva, creando operaciones simultáneas de hackeo y filtración (hack-and-leak).

La era de la militarización de la identidad (2026 en adelante)

La más reciente escalada en las operaciones cibernéticas ofensivas iraníes marca un alejamiento fundamental de la técnica de la década anterior. Si bien las motivaciones estratégicas se mantienen constantes, la ejecución técnica ha pasado de desplegar malware compilado y personalizado a una forma altamente destructiva de LotL. En lugar de intentar evadir los agentes de EDR con binarios de wiper sofisticados, estos grupos están atacando el plano de gestión empresarial en sí.

• Explotación de la gestión de dispositivos móviles (MDM): El vector de ataque principal se basa en el compromiso de identidades con altos privilegios con acceso a consolas de gestión basadas en la nube, como las plataformas MDM/RMM.
• Abuso de comandos integrados: Una vez que se asegura el acceso administrativo, los actores de amenazas abusan de funciones legítimas e integradas, específicamente los comandos de borrado remoto o restablecimiento de fábrica. Al transmitir estos comandos a través de todo el entorno gestionado, los atacantes pueden borrar simultáneamente cientos de miles de computadoras portátiles corporativas, servidores y dispositivos móviles (incluido el hardware de "traiga su propio dispositivo" o BYOD) en entornos globales.
• La zona oculta para el EDR: Debido a que no se instala un malware de borrado tradicional y no se inician procesos anómalos de escritura en disco por parte de un ejecutable desconocido, las plataformas de antivirus y EDR pueden permanecer en gran medida ciegas ante la actividad. Los comandos destructivos están autenticados, autorizados y se entregan directamente desde la infraestructura de confianza del proveedor.

Esta metodología ofrece una escala y velocidad sin precedentes. Elimina el requisito de uso intensivo de recursos para desarrollar, probar y actualizar familias de malware personalizadas, al tiempo que garantiza un impacto catastrófico en las capacidades operativas del objetivo.

Perspectivas: un cálculo estratégico transformado

Para los profesionales de la ciberseguridad y los defensores de redes, el modelo de amenaza ha cambiado significativamente. La lección principal de esta cronología evolutiva es que la infraestructura de una organización es tan fuerte como su credencial administrativa más débil. Cuando los actores de amenazas pueden convertir de manera confiable las herramientas utilizadas para gestionar y asegurar una flota en los instrumentos mismos de su destrucción, el paradigma defensivo debe evolucionar de centrarse puramente en la detección de malware a imponer una resiliencia de identidad estricta.

Para los actores de amenazas alineados con estados, interrumpir las operaciones a través del abuso de identidad nativo es una forma altamente eficiente y escalable de proyectar poder e infligir daño económico. Al comprender esta evolución táctica, las organizaciones pueden pasar de una postura de búsqueda reactiva de malware a una de resiliencia verificada y centrada en la identidad.

Para mitigar el riesgo de abuso administrativo alineado con estados, los equipos de seguridad deben implementar las siguientes contramedidas estratégicas:

• Tratar el plano de gestión como Nivel 0 (Tier-0): Las plataformas de gestión basadas en la nube deben considerarse infraestructura crítica. Los cambios en las políticas de MDM, las asignaciones de roles y los alcances de inscripción deben someterse a los mismos procesos rigurosos de control de cambios que las modificaciones de los controladores de dominio.
• Imponer el acceso condicional estricto y Zero Trust: El acceso a los portales administrativos debe estar protegido por políticas de acceso condicional robustas. Las credenciales válidas y la autenticación multifactor (MFA) ya no son suficientes; el acceso también debe requerir verificación desde un dispositivo corporativo conocido, que cumpla con las normas y esté catalogado. El uso de credenciales robadas que intenten autenticarse desde un dispositivo desconocido o un rango de direcciones IP anómalo debe activar un bloqueo total, no simplemente un aviso de MFA.
• Eliminar los privilegios permanentes: Las organizaciones deben auditar y reducir radicalmente el número de cuentas que poseen roles permanentes de administrador global. Implemente la gestión de identidades con privilegios (Privileged Identity Management o PIM) para garantizar que el acceso administrativo se otorgue solo bajo demanda (Just-In-Time o JIT), con flujos de trabajo de aprobación y límites de tiempo estrictos.
• Aislar los respaldos con "brecha de aire" (air-gap): En un entorno donde el propio inquilino (tenant) de la nube está comprometido, los respaldos conectados a la nube son altamente susceptibles a la misma destrucción. Mantener respaldos fuera de línea, con brecha de aire e inmutables, es un requisito no negociable para garantizar la supervivencia de la organización frente a las operaciones de borrado administrativo nativo.

Recursos adicionales

• Insights: Aumento del riesgo de ataques de tipo wiper – Unit 42, Palo Alto Networks
• Evaluación de amenazas de Boggy Serpens – Unit 42, Palo Alto Networks
• Informe de amenazas: Escalada del ciberriesgo relacionado con Irán en marzo de 2026 – Unit 42, Palo Alto Networks

Actualizado el 23 de marzo de 2026, a las 3:26 p. m. PT, para incluir una sección de recursos adicionales con un enlace.