Unit 42: Grupo APT iraní utiliza señuelos de contratación laboral para atacar a organizaciones

Palo Alto Networks publicó un nuevo informe sobre las campañas de ciberespionaje de un grupo APT (Amenaza Persistente Avanzada) iraní dirigidas contra Estados Unidos, los Emiratos Árabes Unidos y otros países, en medio de la escalada del conflicto regional en 2026. El actor está utilizando tácticas nuevas y más sofisticadas, dirigidas a empleados mediante señuelos de phishing relacionados con contrataciones.

Unit 42 identificó al grupo como Screening Serpens (también conocido como Smoke Sandstorm, Iranian Dream Job, UNC1549), que ha mantenido campañas de espionaje a un ritmo elevado incluso mientras Internet y los centros de mando de la región se encontraban paralizados.

Detalles adicionales:

  • Siguiendo el manual de estrategias de Corea del Norte: Screening Serpens está utilizando «cebos de reclutamiento» muy sofisticados para atacar a ingenieros de software. El grupo se hizo pasar por marcas de renombre y plataformas de contratación para ganarse la confianza de las víctimas y engañarlas para que iniciaran su propia cadena de infección.

  • Nueva táctica de evasión, secuestro de AppDomain: hemos identificado un cambio en la forma en que ejecutan el malware. Al manipular la fase de inicialización de las aplicaciones .NET, el actor puede eludir de forma preventiva la telemetría de seguridad tradicional y ejecutar cargas útiles antes de que muchas defensas estándar de los endpoints se hayan inicializado por completo. Esta táctica permite a los atacantes establecer persistencia y mantener el control operativo sobre la exfiltración de datos.

A continuación, encontrarás una cita de Elad Koren, vicepresidente de Gestión de Productos de Palo Alto Networks, sobre cómo las organizaciones pueden protegerse contra los tipos de ataques descritos en este estudio.

Si tienes alguna pregunta, por favor, no dudes en contactarme.

Elad Koren, vicepresidente de Gestión de Productos de Palo Alto Networks: «A medida que grupos APT como Screening Serpens siguen evolucionando y aprovechando tecnologías punteras de inteligencia artificial, las soluciones tradicionales de seguridad para endpoints ya no son suficientes. Las organizaciones modernas necesitan ahora posturas defensivas que evolucionen hacia estrategias multicapa basadas en el comportamiento, que vayan más allá de la mera firma de archivos. Al centrarse en identificar comportamientos intrínsecamente anómalos en el momento de la instalación, como el secuestro de AppDomain o la desactivación de la telemetría del sistema, los defensores pueden interceptar eficazmente cadenas de ataque sofisticadas antes de que se afiancen. La supervisión de la lógica y del comportamiento de las aplicaciones es ahora fundamental para la prevención proactiva de amenazas.»

Google News Portal Innova
Síguenos en Google Noticias

Equipo Prensa
Portal Innova

Artículo relacionadosMás del autor