Conflicto en Irán Impulsa Aumento de Actividad de Espionaje contra Objetivos del Medio Oriente

Resumen

Proofpoint informó un aumento en la actividad de espionaje y phishing vinculadas a actores de amenazas alineados con el estado iraní, chino, pakistaní, bielorruso y otros, tras los ataques de febrero de 2026 en Irán. Los adversarios utilizaron señuelos con temas de conflicto para atacar ministerios gubernamentales, organizaciones diplomáticas y think tanks en todo Oriente Medio y Estados Unidos. Estas operaciones se basaron en phishing de credenciales, archivos LNK maliciosos, carga descarregada de DLL y cargas útiles de Cobalt Strike entregadas a través de cuentas de correo electrónico comprometidas e infraestructura alojada en la nube. Los esfuerzos de detección deben priorizar los accesos directos a Office maliciosos, páginas de inicio de sesión falsas estilo OneDrive y el uso sospechoso de cargadores de malware conocidos.

Investigación

Proofpoint rastreó seis campañas separadas — UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473, y TA453 — que utilizaron compromiso de correo electrónico, archivos archivados armados y enlaces maliciosos para entregar cargadores que finalmente lanzaron Cobalt Strike. Los investigadores catalogaron indicadores que incluyen direcciones de correo electrónico, dominios, URLs, nombres de archivos y hashes de archivos. Cuando fue posible, el informe también mapeó la infraestructura observada a informes públicos documentados previamente.

Mitigación

Las organizaciones deben requerir MFA para plataformas de correo electrónico y en la nube, bloquear dominios y URLs maliciosos conocidos, y monitorear la ejecución de LNK y la actividad inesperada de carga de DLL. Los controles de seguridad de correo electrónico deben inspeccionar los archivos adjuntos para la entrega basada en LNK y archivos archivados, mientras que la investigación de amenazas debe enfatizar el comportamiento del beacon de Cobalt Strike y la ejecución inusual de PowerShell.

Respuesta

Si se identifica un LNK sospechoso, un archivo archivado malicioso o un beacon de Cobalt Strike, aísle el host, recolecte evidencia volátil y comience la respuesta al incidente inmediatamente. Bloquee los dominios de comando y control relacionados y las direcciones IP, restablezca las cuentas comprometidas y realice una investigación forense completa para identificar cualquier mecanismo de persistencia.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear["<b>Action</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/><b>Description</b>: Send emails with malicious ZIP or LNK attachments that execute code when opened.<br/><b>Confidence</b>: High"] class action_phishing_spear action action_execution_ps["<b>Action</b> – <b>T1059.001 PowerShell</b><br/><b>Description</b>: Use PowerShell to download and execute additional payloads.<br/><b>Confidence</b>: High"] class action_execution_ps action action_defense_proxy["<b>Action</b> – <b>T1218 System Binary Proxy Execution</b><br/><b>Description</b>: Load malicious DLL via signed binary (nvdaHelperRemoteLoader.exe).<br/><b>Confidence</b>: High"] class action_defense_proxy action action_c2_web["<b>Action</b> – <b>T1102.002 Web Service: Bidirectional Communication</b><br/><b>Description</b>: Communicate with C2 hosts using web services such as Azure Front Door and OneDrive.<br/><b>Confidence</b>: High"] class action_c2_web action action_persistence_account["<b>Action</b> – <b>T1098 Account Manipulation</b> & <b>T1078 Valid Accounts</b><br/><b>Description</b>: Use compromised email accounts to maintain foothold and send further phishing.<br/><b>Confidence</b>: High"] class action_persistence_account action action_phishing_additional["<b>Action</b> – <b>T1566 Phishing (Additional)</b><br/><b>Description</b>: Host fake OWA/OneDrive credential pages to harvest credentials.<br/><b>Confidence</b>: High"] class action_phishing_additional action %% Nodes – Artifacts artifact_zip["<b>Artifact</b> – Malicious ZIP attachment<br/><b>Content</b>: LNK and PDF files with embedded payloads"] class artifact_zip artifact artifact_lnk["<b>Artifact</b> – LNK file (nvdaHelperRemoteLoader.exe)"] class artifact_lnk artifact artifact_ps_script["<b>Artifact</b> – PowerShell script used for download"] class artifact_ps_script artifact artifact_dll["<b>Artifact</b> – Malicious DLL (nvdaHelperRemote.dll)"] class artifact_dll malware %% Nodes – Processes / Tools process_loader["<b>Process</b> – nvdaHelperRemoteLoader.exe (signed binary)"] class process_loader process process_powershell["<b>Process</b> – PowerShell.exe executing download script"] class process_powershell process %% Nodes – Command & Control Services service_c2_almer["<b>Service</b> – support.almersalstore.com (C2 domain)"] class service_c2_almer service service_c2_azure["<b>Service</b> – Azure Front Door host"] class service_c2_azure service service_c2_onedrive["<b>Service</b> – OneDrive file link (C2)"] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email["<b>Credential

graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear[«<b>Acción</b> – <b>T1566.001 Phishing: Adjunto de Spearphishing</b><br/><b>Descripción</b>: Enviar correos electrónicos con archivos adjuntos ZIP o LNK maliciosos que ejecutan código al abrirse.<br/><b>Confianza</b>: Alta»] class action_phishing_spear action action_execution_ps[«<b>Acción</b> – <b>T1059.001 PowerShell</b><br/><b>Descripción</b>: Usar PowerShell para descargar y ejecutar cargas útiles adicionales.<br/><b>Confianza</b>: Alta»] class action_execution_ps action action_defense_proxy[«<b>Acción</b> – <b>T1218 Ejecución de Proxy de Binario del Sistema</b><br/><b>Descripción</b>: Cargar DLL malicioso a través de binario firmado (nvdaHelperRemoteLoader.exe).<br/><b>Confianza</b>: Alta»] class action_defense_proxy action action_c2_web[«<b>Acción</b> – <b>T1102.002 Servicio Web: Comunicación Bidireccional</b><br/><b>Descripción</b>: Comunicarse con hosts de C2 usando servicios web como Azure Front Door y OneDrive.<br/><b>Confianza</b>: Alta»] class action_c2_web action action_persistence_account[«<b>Acción</b> – <b>T1098 Manipulación de Cuenta</b> & <b>T1078 Cuentas Válidas</b><br/><b>Descripción</b>: Usar cuentas de correo electrónico comprometidas para mantener la conexión y enviar más phishing.<br/><b>Confianza</b>: Alta»] class action_persistence_account action action_phishing_additional[«<b>Acción</b> – <b>T1566 Phishing (Adicional)</b><br/><b>Descripción</b>: Hospedar páginas de credenciales falsas de OWA/OneDrive para recolectar credenciales.<br/><b>Confianza</b>: Alta»] class action_phishing_additional action %% Nodes – Artifacts artifact_zip[«<b>Artefacto</b> – Adjunto ZIP Malicioso<br/><b>Contenido</b>: Archivos LNK y PDF con cargas útiles incrustadas»] class artifact_zip artifact artifact_lnk[«<b>Artefacto</b> – Archivo LNK (nvdaHelperRemoteLoader.exe)»] class artifact_lnk artifact artifact_ps_script[«<b>Artefacto</b> – Script de PowerShell utilizado para descargar»] class artifact_ps_script artifact artifact_dll[«<b>Artefacto</b> – DLL Malicioso (nvdaHelperRemote.dll)»] class artifact_dll malware %% Nodes – Processes / Tools process_loader[«<b>Proceso</b> – nvdaHelperRemoteLoader.exe (binario firmado)»] class process_loader process process_powershell[«<b>Proceso</b> – PowerShell.exe ejecutando script de descarga»] class process_powershell process %% Nodes – Command & Control Services service_c2_almer[«<b>Servicio</b> – support.almersalstore.com (dominio de C2)»] class service_c2_almer service service_c2_azure[«<b>Servicio</b> – Host de Azure Front Door»] class service_c2_azure service service_c2_onedrive[«<b>Servicio</b> – Enlace de archivo de OneDrive (C2)»] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email[«<b>Credencial</b> – Cuenta de correo electrónico gubernamental comprometida»] class credential_email credential %% Connections – Attack Flow action_phishing_spear –>|entrega| artifact_zip artifact_zip –>|contiene| artifact_lnk artifact_lnk –>|ejecuta| process_loader process_loader –>|usa| action_defense_proxy action_defense_proxy –>|carga| artifact_dll artifact_dll –>|habilita| action_execution_ps action_execution_ps –>|ejecuta| process_powershell process_powershell –>|descarga carga útil vía| artifact_ps_script process_powershell –>|se comunica con| service_c2_almer process_powershell –>|se comunica con| service_c2_azure process_powershell –>|se comunica con| service_c2_onedrive service_c2_almer –>|soporta| action_persistence_account service_c2_azure –>|soporta| action_persistence_account service_c2_onedrive –>|soporta| action_persistence_account action_persistence_account –>|usa| credential_email credential_email –>|envía| action_phishing_additional action_phishing_additional –>|aloja| artifact_zip

Flujo de Ataque