El Paradojo Cibernético de Irán: APTs Degradados, Proxies en Auge, y Borradores de Bootkit
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
La actividad cibernética vinculada a Irán se está alejando cada vez más de los equipos APT establecidos hacia operadores proxy que utilizan limpiadores estilo bootkit, explotan una gama cada vez mayor de CVEs, e incluso combinan operaciones cibernéticas con la interrupción física de la infraestructura en la nube. Los grupos recientemente rastreados como Rusty Boots y MoKhargosh han demostrado persistencia a nivel de bootkit, mientras que HYDRO KITTEN se ha centrado en PLCs de Rockwell y dispositivos de red expuestos a Internet a través de métodos de intrusión basados en credenciales. Los ataques físicos contra centros de datos en la nube de la región del Golfo expanden aún más el riesgo a un dominio híbrido cibernético-físico. El informe subraya la importancia de la validación de la integridad del firmware y la detección basada en el comportamiento en entornos OT.
Investigación
El informe destaca tres desarrollos importantes. Primero, Rusty Boots y MoKhargosh han demostrado la capacidad de desplegar limpiadores con persistencia estilo bootkit. Segundo, HYDRO KITTEN ha explotado múltiples CVEs que afectan a los sistemas Rockwell, FortiGate, SonicWall, Ivanti, PAN-OS y OpenSSH. Tercero, UNC6446 ha utilizado malware personalizado en C# y Golang, incluidos DUSTYPROXY y ERIESNAKE.GO, comunicándose sobre HTTP sin encriptar a través del puerto 443. El informe también hace referencia a ataques físicos dirigidos a la infraestructura en la nube en Bahréin y Dubái.
Mitigación
Las organizaciones deben aplicar parches a todos los CVEs referenciados en cortafuegos, activos OT y servicios SSH, mientras aplican un arranque seguro y verificaciones regulares de integridad del firmware. Los equipos defensivos deben monitorear la actividad de escritura en disco sin procesar y las modificaciones al MBR o VBR, bloquear el tráfico HTTP sin encriptar sobre el puerto 443, revisar las claves de ejecución de registro para ejecutables desconocidos e implementar monitoreo de comportamiento OT para detectar cambios de punto de ajuste en PLC fuera de los períodos de mantenimiento aprobados.
Respuesta
Los defensores deben bloquear inmediatamente todas las direcciones IP, dominios y hashes de archivos divulgados en DNS, proxy y controles de endpoint. El contenido de detección debe desplegarse para HTTP sin encriptar a través de TCP/443, fallas de integridad de arranque seguro, nuevas entradas de claves de ejecución de registro y comportamiento sospechoso en la autenticación de PLC. La búsqueda de amenazas debe centrarse en las firmas de malware listadas, así como en signos de acceso pre-posicionado, incluidos largos períodos de inactividad seguidos de operaciones abruptas relacionadas con OT.
graph TB %% Definición de clases classDef technique fill:#e6f7ff classDef tool fill:#ffeb99 classDef malware fill:#ffcccc %% Nodos de técnicas technique_valid_accounts[«<b>Técnica</b> – T1078 Cuentas válidas<br/><b>Descripción</b>: Uso de credenciales robadas o adquiridas para obtener acceso inicial a redes objetivo.»] class technique_valid_accounts technique technique_exploit_remote[«<b>Técnica</b> – T1210 Explotación de servicios remotos<br/><b>Descripción</b>: Explotar servicios vulnerables (p. ej., CVE-2021-26868, CVE-2024-0012, CVE-2024-5591) para movimiento lateral y control de dispositivos.»] class technique_exploit_remote technique technique_persistence_registry[«<b>Técnica</b> – T1547.001 Claves de ejecución en registro / carpeta de inicio<br/><b>Descripción</b>: Establecer persistencia mediante claves Run en HKCU/HKLM o carpeta de inicio.»] class technique_persistence_registry technique technique_c2_external_proxy[«<b>Técnica</b> – T1090.002 Proxy externo<br/><b>Descripción</b>: Enrutar tráfico de comando y control a través de servidores proxy externos para ocultar infraestructura.»] class technique_c2_external_proxy technique technique_c2_web[«<b>Técnica</b> – T1071.001 Protocolos web (HTTP/S)<br/><b>Descripción</b>: Uso de HTTP/S para comunicación C2 sobre TCP/443.»] class technique_c2_web technique technique_execution_ps[«<b>Técnica</b> – T1059.001 PowerShell<br/><b>Descripción</b>: Uso de PowerShell para descargar archivos, manipular el sistema y ejecutar cargas maliciosas.»] class technique_execution_ps technique technique_remote_access[«<b>Técnica</b> – T1219 Herramientas de acceso remoto<br/><b>Descripción</b>: Despliegue de puertas traseras que proporcionan sesiones remotas interactivas.»] class technique_remote_access technique technique_credential_exploit[«<b>Técnica</b> – T1212 Explotación para acceso a credenciales<br/><b>Descripción</b>: Uso de credenciales robadas para autenticarse directamente en dispositivos sin malware adicional.»] class technique_credential_exploit technique technique_impact_preos[«<b>Técnica</b> – T1542 Pre-arranque (Pre-OS)<br/><b>Descripción</b>: Modificación de componentes de arranque para persistencia o impacto antes del sistema operativo.»] class technique_impact_preos technique technique_impact_data_destruction[«<b>Técnica</b> – T1485 Destrucción de datos<br/><b>Descripción</b>: Corrupción o eliminación de datos críticos.»] class technique_impact_data_destruction technique technique_impact_disk_wipe[«<b>Técnica</b> – T1561.001 Borrado de disco<br/><b>Descripción</b>: Sobrescritura de sectores de disco para inutilizar sistemas.»] class technique_impact_disk_wipe technique %% Herramientas y malware tool_dustyproxy[«<b>Herramienta</b> – DUSTYPROXY<br/><b>Descripción</b>: Cliente proxy en C# instalado vía claves Run del registro; enruta tráfico a proxies externos.»] class tool_dustyproxy tool malware_eriesnake_go[«<b>Malware</b> – ERIESNAKE.GO<br/><b>Descripción</b>: Backdoor en Go que proporciona sesiones interactivas, ejecuta PowerShell y comunica por HTTP/443.»] class malware_eriesnake_go malware malware_rusty_boots[«<b>Malware</b> – Rusty Boots<br/><b>Descripción</b>: Wiper tipo bootkit que sobrevive a reinstalación del SO y corrompe el arranque.»] class malware_rusty_boots malware malware_mokhargosh[«<b>Malware</b> – MoKhargosh<br/><b>Descripción</b>: Wiper similar de nivel bootkit usado para inutilizar sistemas industriales.»] class malware_mokhargosh malware %% Flujo technique_valid_accounts –>|lleva a| technique_exploit_remote technique_exploit_remote –>|habilita| technique_persistence_registry technique_persistence_registry –>|usa| tool_dustyproxy tool_dustyproxy –>|instala| technique_persistence_registry tool_dustyproxy –>|redirige tráfico a| technique_c2_external_proxy technique_c2_external_proxy –>|comunica mediante| technique_c2_web technique_c2_web –>|facilita| technique_execution_ps technique_execution_ps –>|lanza| malware_eriesnake_go malware_eriesnake_go –>|proporciona| technique_remote_access technique_remote_access –>|aprovecha| technique_credential_exploit technique_credential_exploit –>|conduce a| technique_impact_preos technique_impact_preos –>|habilita| technique_impact_data_destruction technique_impact_data_destruction –>|causa| technique_impact_disk_wipe technique_impact_preos –>|implementado por| malware_rusty_boots technique_impact_preos –>|implementado por| malware_mokhargosh %% Estilos class technique_valid_accounts,technique_exploit_remote,technique_persistence_registry,technique_c2_external_proxy,technique_c2_web,technique_execution_ps,technique_remote_access,technique_credential_exploit,technique_impact_preos,technique_impact_data_destruction,technique_impact_disk_wipe technique class tool_dustyproxy tool class malware_eriesnake_go,malware_rusty_boots,malware_mokhargosh malware
Flujo de Ataque
Detecciones
Puntos Posibles de Persistencia [ASEPs – Software/NTUSER Hive] (via registry_event)
Ver
Posible Enumeración del Sistema (via cmdline)
Ver
Proceso Sospechoso Imitando un Proceso del Sistema Fue Ejecutado (via cmdline)
Ver
Posible Descubrimiento de Información del Sistema Usando el Módulo Wmi Powershell (via powershell)
Ver
IoCs (HashMd5) para detectar: EL PARADIGMA CIBERNÉTICO DE IRÁN: APTS DEGRADADOS, PROXIES EMPODERADOS Y EL ASCENSO DE LOS LIMPIADORES BOOTKIT
Ver
IoCs (SourceIP) para detectar: EL PARADIGMA CIBERNÉTICO DE IRÁN: APTS DEGRADADOS, PROXIES EMPODERADOS Y EL ASCENSO DE LOS LIMPIADORES BOOTKIT
Ver
IoCs (DestinationIP) para detectar: EL PARADIGMA CIBERNÉTICO DE IRÁN: APTS DEGRADADOS, PROXIES EMPODERADOS Y EL ASCENSO DE LOS LIMPIADORES BOOTKIT
Ver
Explotación de HYDRO KITTEN de Rockwell RSLogix 5000 [Cortafuegos]
Ver
Detectar Tráfico HTTP Anómalo y Comportamiento de Relay Proxy Indicando Actividad de ERIESNAKE.GO y DUSTYPROXY [Proxy]
Ver
Detección de Ejecución de PowerShell por ERIESNAKE.GO por Procesos Específicos [Windows Powershell]
Ver
Persistencia de DUSTYPROXY mediante Clave de Ejecución de Registro [Evento de Registro de Windows]
Ver
Ejecución de Simulación
Requisito previo: El Chequeo Pre-vuelo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa de Ataque & Comandos:
- Recolección de Credenciales (T1078) – El atacante, habiendo comprometido una cuenta de servicio de bajo privilegio, obtiene las credenciales de servicio «Rockwell» de un almacén de credenciales inseguro.
- Inicio de sesión interactivo remoto (T1078, LogonType 10) – Usando esas credenciales, el atacante se conecta a la estación de trabajo de gestión de PLC objetivo vía RDP, generando un evento de inicio de sesión exitoso (EventID 4624, LogonType 10) que coincide con la
selección1. - Intento de Explotación (T1190 / T1542.003) – Mientras está conectado, el atacante ejecuta una solicitud HTTP creada contra el servicio web RSLogix 5000, activando el bypass de autenticación (CVE‑2021‑22681). El servicio registra un evento de autenticación fallida (EventID 4625) con una cadena de motivo de falla que contiene “CVE‑2021‑22681”, satisfaciendo
selección2. - Post-Explotación (T1059.001, T1071.001, T1090.002) – Se establece un shell inverso de PowerShell a través de un proxy externo para descargar la carga maliciosa, pero estos pasos no son necesarios para que la regla se active.
-
Script de Prueba de Regresión: El siguiente script automatiza los pasos 2 y 3 para producir la telemetría exacta.
# ============================== # Prueba de Explotación de Hydro Kitten # ============================== # 1️⃣ Variables – reemplazar con los valores de su entorno $targetHost = "10.0.0.50" # IP del servidor RSLogix $rockwellUser = "Rockwell" $rockwellPwd = "P@ssw0rd!" # Contraseña conocida (o capturada) $proxyUrl = "http://proxy.example.com:8080" # 2️⃣ Establecer una sesión remota interactiva (RDP) usando las credenciales de Rockwell $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd) Write-Host "[*] Iniciando sesión RDP a $targetHost con $rockwellUser..." # Start-Process crea una nueva sesión de inicio – esto genera EventID 4624 con LogonType 10 Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred Start-Sleep -Seconds 10 # Permitir tiempo para que se registre el inicio de sesión # 3️⃣ Activar el intento de bypass de autenticación CVE‑2021‑22681 $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1" Write-Host "[*] Enviando solicitud malformada para activar detección CVE..." Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue Write-Host "[+] Solicitud de explotación enviada. Verificar SIEM para EventID 4625 que contenga 'CVE-2021-22681'." -
Comandos de Limpieza: Eliminar la sesión de RDP y cualquier artefacto temporal.
# Terminar el proceso del cliente RDP Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force # (Opcional) Limpiar el historial de PowerShell para reducir la huella forense Clear-History