Se ha observado que el actor de amenazas patrocinado por el Estado iraní, APT42, ataca a personas y organizaciones de interés para el Cuerpo de la Guardia Revolucionaria Islámica (CGRI) como parte de una nueva campaña centrada en el espionaje.
La actividad, descubierta a principios de septiembre de 2025 y clasificada como en curso, recibió el nombre en código lanzaespectro de la Agencia Digital Nacional de Israel (INDA).
“La campaña se dirigió sistemáticamente a altos funcionarios gubernamentales y de defensa utilizando tácticas personalizadas de ingeniería social”, dijeron los investigadores del INDA Shimi Cohen, Adi Pick, Idan Beit-Yosef, Hila David y Yaniv Goldman. “Esto incluye invitar a grupos objetivo a conferencias prestigiosas u organizar reuniones importantes”.
Lo notable de esta operación es que también se extiende a los familiares de los objetivos, creando una superficie de ataque más amplia que ejerce más presión sobre los objetivos principales.
Documentado públicamente por primera vez por Google Mandiant a finales de 2022, APT42 describe su superposición con otro grupo de amenazas del IRGC rastreado como APT35, CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, Educated Manticore, GreenCharlie, ITG18, Magic Hound, Mint Sandstorm (anteriormente Phosphorus), TA453 y Yellow Garuda.
Una de las características distintivas del grupo es su capacidad para lanzar campañas convincentes de ingeniería social que pueden durar días o semanas para generar confianza en los objetivos. En algunos casos, se disfrazan de contactos conocidos para crear una ilusión de autenticidad antes de enviar una carga maliciosa o engañarlos para que hagan clic en enlaces con trampas explosivas.
En junio de 2025, Check Point informó sobre una ola de ataques en los que los actores de amenazas apuntaban a expertos israelíes en tecnología y ciberseguridad haciéndose pasar por administradores o investigadores de tecnología en correos electrónicos y mensajes de WhatsApp.
Goldman dijo a The Hacker News que SpearSpecter y la campaña de junio de 2025 eran diferentes y fueron llevadas a cabo por dos subgrupos diferentes dentro de APT42.
“Si bien nuestra campaña fue realizada por el Grupo D de APT42 (que se centra más en operaciones basadas en malware), la campaña descrita por Check Point fue realizada por el Grupo B del mismo grupo (que se centra más en la recopilación de credenciales)”, añadió Goldman.
Según INDA, SpearSpecter es flexible en el sentido de que el adversario ajusta su enfoque en función del valor del objetivo y los objetivos operativos. Varios ataques redirigen a las víctimas a sitios de reuniones falsos diseñados para capturar sus credenciales de inicio de sesión. Sin embargo, si el objetivo final es un acceso persistente y a largo plazo, los ataques resultan en el uso de una conocida puerta trasera de PowerShell llamada TAMECAT, que se ha utilizado repetidamente en los últimos años.
Para ello, la cadena de ataque consiste en suplantar contactos de confianza de WhatsApp para enviar un enlace malicioso a un documento supuestamente requerido para una próxima reunión o conferencia. Cuando se hace clic en el enlace, se inicia una cadena de redireccionamiento para servir un acceso directo de Windows (LNK) alojado en WebDAV que se hace pasar por un archivo PDF utilizando el controlador de protocolo search-ms:.
El archivo LNK, a su vez, contacta un subdominio de Cloudflare Workers para recuperar un script por lotes que actúa como un cargador para TAMECAT, que a su vez utiliza varios componentes modulares para facilitar la filtración de datos y el control remoto.
El marco de PowerShell utiliza tres canales diferentes, a saber, HTTPS, Discord y Telegram, para comando y control (C2), destacando el objetivo del actor de amenazas de mantener el acceso persistente a los hosts comprometidos incluso si se detecta y bloquea una ruta.
Para C2 basado en Telegram, TAMECAT escucha los comandos entrantes de un bot de Telegram controlado por un atacante, en función del cual recupera y ejecuta código PowerShell adicional de varios subdominios de Cloudflare Workers. En el caso de Discord, se utiliza una URL de webhook para enviar información básica del sistema y, a cambio, recibir comandos de un canal codificado.
“Un análisis de las cuentas recuperadas del servidor Discord del actor sugiere que la lógica de búsqueda de comandos se basa en mensajes de un usuario específico, lo que permite al actor entregar comandos únicos a hosts infectados individuales mientras usa simultáneamente el mismo canal para coordinar múltiples ataques, creando efectivamente un espacio de trabajo colaborativo en una sola infraestructura”, dijeron los investigadores de INDA.
Además, TAMECAT tiene capacidades de reconocimiento, recopilación de archivos con extensiones específicas, robo de datos de navegadores web como Google Chrome y Microsoft Edge, recopilación de buzones de correo de Outlook y toma de capturas de pantalla en intervalos de 15 segundos. Los datos se extraen a través de HTTPS o FTP.
Además, se utilizan diversas técnicas sigilosas para evadir la detección y resistir los esfuerzos de análisis. Estos incluyen cifrar cargas útiles de telemetría y controladores, ofuscar el código fuente, usar binarios que viven fuera de la tierra (LOLBins) para ocultar actividades maliciosas y operar principalmente en la memoria, dejando poco rastro en el disco.
“La infraestructura de la campaña SpearSpecter refleja una combinación sofisticada de agilidad, sigilo y seguridad operativa diseñada para sostener el espionaje a largo plazo contra objetivos de alto valor”, dijo INDA. “Los operadores aprovechan una infraestructura diversa que combina servicios legítimos en la nube con recursos controlados por atacantes, lo que permite un acceso inicial fluido, comando y control persistente (C2) y filtración encubierta de datos”.
About The Author
