De Clawdbot a OpenClaw: la automatización como puerta trasera digital.
Leer el blog

De Clawdbot a OpenClaw: la automatización como puerta trasera digital. Leer el blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. Blogs
    >
  2. Ciberataque

¿Están ya las APT iraníes dentro de su red híbrida?

Julio 10, 2025
Lucie Cardiet
Responsable de investigación de ciberamenazas
¿Están ya las APT iraníes dentro de su red híbrida?

La reciente escalada de tensión entre Irán e Israel ha provocado un aumento de las operaciones cibernéticas de actores vinculados al Estado que se centran en las redes de identidad, cloud y las empresas. Estos grupos combinan intrusiones profundas en la red con el abuso de identidades para burlar las defensas tradicionales.

Se aprovechan de las aplicaciones públicas para el acceso inicial, recopilan credenciales a través phishing o la difusión de contraseñas, y luego se mueven lateralmente con RDP, PsExec o servicios de acceso remoto. La persistencia se consigue mediante tareas programadas, carga lateral de DLL, ventanas ocultas y túneles de protocolo. Los datos se organizan, archivan y filtran silenciosamente a través de canales oscuros, a menudo sin activar las alertas heredadas.

Al mismo tiempo, lanzan campañas centradas en la identidad dentro de Microsoft 365, Azure y Google Workspace: abusan de OAuth, eluden MFA y utilizan Outlook, OneDrive y Teams para mantener el acceso y desviar datos. Estas tácticas se dirigen a infraestructuras críticas, gobiernos, empresas comerciales y ONG de Oriente Medio y Occidente, combinando espionaje y ataques destructivos (wipers, cifrado forzado).

Confiar únicamente en los puntos finales o en los controles perimetrales le deja ciego a toda la cadena de ataque. Si utilizas colaboración en cloud , infraestructura híbrida o acceso remoto, ya estás en su punto de mira.

Recent Activity from Iranian Threat Actors

Iranian threat groups continue to run sustained cyber operations against organizations across government, telecommunications, energy, and technology sectors. Recent campaigns show actors like MuddyWater expanding their use of identity abuse and cloud-native tooling while maintaining traditional PowerShell-based intrusion techniques. Rather than deploying obvious malware, these operators increasingly rely on scripts, legitimate administration tools, and compromised infrastructure to maintain stealth across hybrid environments.

Quién está detrás de los ataques: Perfiles de APT vinculadas a Irán

A pesar de que sus objetivos varían (desde el espionaje a largo plazo hasta el sabotaje descarado), cada grupo aprovecha tanto los canales de red como los de identidad para penetrar, persistir y extraer. A continuación se ofrece una visión de alto nivel de su acceso inicial, sus TTP de red y sus TTP de cloud .

Iranian threat groups frequently reuse tooling across campaigns, particularly PowerShell frameworks, script loaders, and open-source remote access tools. This reuse makes behavioral detection across identity and network telemetry especially effective.

Grupo Acceso inicial Tácticas de red Cloud en la nube
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten) Correos electrónicos de phishing con ofertas de empleo, campañas de ingeniería social y explotación de vulnerabilidades conocidas.
  • Ejecución de código malicioso a través de PowerShell y tareas programadas.
  • Moverse lateralmente usando RDP, WMI y credenciales robadas.
  • Volcado de credenciales para escalado y persistencia.
  • Archivar y filtrar datos sensibles a través de canales cifrados u oscuros.
  • Mantenimiento de la ocultación mediante ofuscación, claves de registro y tráfico codificado.
  • phishing mediante anuncios de empleo e ingeniería social para obtener credenciales.
  • Rociado de contraseñas para acceder a cuentas de Office 365 y Azure.
  • Una vez obtenidas las credenciales, acceder a las cuentas a través de VPN comerciales.
  • Uso de herramientas específicas de Azure para enumerar Entra ID (Azure AD) y recopilar datos de usuarios y grupos.
  • Despliegue de ZIPs maliciosos a través de mensajes de Microsoft Teams para extraer información de Active Directory.
APT34 (alias Helix Kitten, OilRig, CHRYSENE, COBALT GYPSY) Correos electrónicos de phishing y falsas ofertas de empleo dirigidas a personas que desempeñan funciones específicas.
  • Utilización de protocolos de escritorio remoto y túneles VPN para desplazarse.
  • Volcado de credenciales y escalada de privilegios a través de exploits conocidos.
  • Filtración de datos a través de túneles DNS, FTP y correo electrónico comprometido.
  • Evadir la detección con enmascaramiento, binarios firmados y manipulación del cortafuegos.
  • Correos electrónicos de phishing y falsas ofertas de empleo para obtener acceso a Exchange y otras cuentas cloud .
  • Aprovechar las funciones del correo electrónico cloud , como Exchange, para filtrar datos de forma sigilosa.
  • Aprovechamiento de los límites de tamaño de transferencia de datos para evitar su detección.
  • Recolección de credenciales y reutilización de las mismas para el movimiento lateral a través de entornos SaaS.
APT35 (alias Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS) Correos electrónicos de phishing , portales de acceso falsos que imitan servicios cloud y cuentas comprometidas.
  • Realización de movimientos laterales mediante RDP y tareas programadas.
  • Volcado de credenciales desde los navegadores y la memoria para un acceso más profundo.
  • Transferencia de datos mediante canales cifrados y plataformas de intercambio cloud .
  • Evadir la seguridad desactivando el registro y mezclando el tráfico C2 con la actividad web.
  • Obtención de credenciales a través de portales de acceso falsos que imitan servicios cloud.
  • Eludir las protecciones MFA mediante ingeniería social y páginas de inicio de sesión falsas y convincentes.
  • Aprovechamiento de vulnerabilidades en Exchange cloud u otras aplicaciones SaaS para obtener acceso privilegiado.
  • Uso de cuentas cloud para recopilar archivos y correos electrónicos de interés de forma silenciosa.
APT42 (alias Crooked Charms) Ingeniería social prolongada y suplantación de contactos de confianza para obtener credenciales.
  • Uso de canales HTTPS cifrados para una transferencia de datos sigilosa.
  • Acceso por túnel a través de VPN falsificadas y sesiones remotas enmascaradas.
  • Ejecución de scripts para descubrimiento, keylogging y recopilación de datos.
  • Mezclarse con el tráfico legítimo para evitar alertas.
  • Ingeniería social extensiva para obtener acceso persistente a Microsoft 365 y plataformas similares.
  • Explotar aplicaciones cliente legítimas para que aparezcan como actividad normal del usuario.
  • Descargar archivos de OneDrive y correos electrónicos de Outlook utilizando la cuenta comprometida sin levantar sospechas.
  • Despliegue de scripts sencillos para extraer datos sensibles.
MuddyWater (alias STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros) Spear-phishing and vulnerability exploitation.
  • Executing PowerShell-based loaders and scripting frameworks that deploy additional payloads from memory.
  • Using compromised web servers and legitimate hosting infrastructure for command-and-control traffic.
  • Moving laterally using remote administration tools, PowerShell remoting, and WMI.
  • Staging data for exfiltration through HTTP-based C2 channels while blending into normal network activity.
  • Targeting Microsoft 365 credentials through phishing and social engineering campaigns.
  • Abusing legitimate cloud services such as Outlook, OneDrive, and SharePoint to collect and move sensitive data.
  • Using compromised accounts to send internal phishing messages and expand access within the tenant.
  • Leveraging legitimate authentication sessions to maintain persistence without deploying obvious malware.
Gatito rampante Aplicaciones Android maliciosas y phishing para robar credenciales y obtener el control del dispositivo.
  • Entrega de cargas útiles a través de documentos Word de plantillas remotas alojados en dominios SharePoint falsificados.
  • Mantenimiento de C2 mediante SOAP sobre HTTPS con puntos finales alternativos al estilo de OneDrive.
  • Exfiltración de tokens de Telegram, bóvedas de KeePass y archivos confidenciales mediante cargas codificadas en base64.
  • Persiste reemplazando el actualizador de Telegram e inyectando cargas útiles en explorer.exe.
  • Ampliación de la recopilación a través de puertas traseras de Android y sitios de phishing de Telegram.
  • Phishing de credenciales de Google imitando páginas de inicio de sesión legítimas en dispositivos Android.
  • Uso de las credenciales capturadas para iniciar sesión en Gmail y otros servicios cloud de Google.
  • Extraer datos a través de las sesiones del navegador y las funciones integradas de las aplicaciones cloud , evitando al mismo tiempo los indicadores obvios de malware .
Agrius (alias DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten) Despliegue de webshells tras phishing o explotación de servidores vulnerables.
  • Obtención de acceso aprovechando aplicaciones de cara al público y configuraciones erróneas.
  • Realización de reconocimientos internos y movimientos laterales a través de túneles de escritorio remotos.
  • Volcado de credenciales para escalada de privilegios y persistencia.
  • Puesta en escena y exfiltración de datos mediante métodos de transferencia habituales.
  • Deteriorar las herramientas de seguridad y disfrazar la actividad para eludir la detección.
  • Despliegue de scripts para extraer credenciales de cuentas internas tras un acceso phishing o ingeniería social.
  • Pivotar lateralmente utilizando credenciales válidas y sesiones autorizadas en aplicaciones cloud .

Cinco técnicas de identidad y Cloud que los equipos SOC deben vigilar

Las amenazas afiliadas a Irán van más allá malware y los exploits tradicionales. Sus campañas se basan ahora en abusar de los sistemas de identidad y vivir dentro de las herramientas de confianza que su organización ya utiliza. Estas cinco técnicas son fundamentales para eludir la detección y mantener la persistencia en entornos de cloud . Cada una de ellas representa una brecha de visibilidad crítica si su equipo confía únicamente en las herramientas EDR o SIEM tradicionales.

  1. Robo de credenciales mediante spear Phishing
    Portales de inicio de sesión falsos que imitan Office 365 o Gmail, pulverización de contraseñas y técnicas de elusión de MFA.
  2. Secuestros de cuentasCloud
    Uso de credenciales robadas para acceder al correo electrónico, OneDrive, SharePoint o aplicaciones de Azure.
  3. Movimiento Recon y Lateral
    Enumeración de Entra ID (Azure AD), creación de aplicaciones OAuth falsas o suscripciones para persistencia.
  4. Exfiltración de datos a través de herramientas legítimas
    Traslado de datos a través de OneDrive, Outlook o API basadas en web para ocultarse dentro del tráfico normal.
  5. Living-Off-the-Land Scripts and Cloud Tools
    Iranian threat actors increasingly rely on PowerShell loaders, administrative scripts, and legitimate cloud APIs instead of custom malware.
TA0001Acceso inicial TA0002Ejecución TA0003Persistencia TA0004Escaladade privilegios TA0005Evasiónde la defensa TA0006Accesoa credenciales TA0007Descubrimiento TA0008Movimiento lateral TA0009Colección TA0011Command & Control TA0010Exfiltración TA0040Impacto
T1566.001Anexo de suplantación de identidad T1047Instrumentosde gestión de Windows T1098.005Registrode dispositivos T1068Explotaciónpara Escalada de Privilegios T1564.004Ventana oculta T1110.001Pulverizaciónde contraseñas T1012Registrode consultas T1021.001RDP T1560Archivode datos recogidos T1071.001Protocolos web T1048AltProtocolo de Exfiltración T1485Destrucciónde datos
T1566.002Enlacede suplantación de identidad T1053.005Tarea/trabajo programado T1547Arranqueo inicio de sesión automático T1055Proceso deinyección T1036.005Masquerading T1555Credencialesde almacenes de contraseñas T1082Descubrimientode información del sistema T1021.002SMBAcciones de administración T1102.001Resolvedor de gota muerta T1486Datoscifrados por impacto
T1133Serviciosremotos externos T1059.001Concha de potencia T1562.001Desactivaro modificar herramientas T1555.003Credencialesde navegadores web T1069.002Descubrimientode grupos de dominios
T1190ExploitAplicación de cara al público T1572Túnelde protocolo Volcado de credenciales T1003OS T1069.Cloud de grupos en la nube
T1556.006MFAGeneración de solicitudes T1482Descubrimientode la confianza en el dominio
T1558.003Kerberoasting

MITRE Técnicas utilizadas por las APT iraníes

Por qué las APT iraníes tienen como objetivo Cloud y la identidad

For Iranian threat groups, cloud platforms and identity systems offer scale, stealth, and strategic access. These attackers are adapting their operations to match how organizations actually work today. Remote access, federated identity, and cloud-first infrastructure have created a wide attack surface where traditional controls often lack visibility.

Key reasons these environments are attractive targets include:

  • Identity is the new perimeter. Once attackers obtain valid credentials tied to SaaS platforms or cloud admin roles, they often bypass traditional defenses entirely. Security tools focused on endpoints or firewalls rarely flag authenticated API calls or abnormal login behavior when the session appears legitimate.
  • Cloud environments provide operational cover. Iranian APT groups frequently operate within sanctioned applications such as Microsoft 365, Azure, and Google Workspace. They exploit weak OAuth policies, misconfigured conditional access rules, and excessive privileges to maintain persistence while blending into normal user activity.
  • Hybrid networks create pivot opportunities. Many organizations maintain links between on-prem systems and cloud environments. Iranian actors have abused identity synchronization services and hybrid management tools to pivot from compromised internal systems into cloud tenants, allowing them to expand access across environments.
  • Living-off-the-land scripting reduces malware visibility. Recent campaigns from groups such as MuddyWater show heavy reliance on PowerShell loaders and script-based frameworks that execute payloads directly in memory. Instead of deploying obvious malware, attackers retrieve tools dynamically and operate using native system capabilities.
  • Cloud-native tooling is dual-use.Tools like Microsoft Graph API, PowerShell, Outlook, Teams messaging, and remote administration software are designed to enable productivity. Iranian actors routinely use these same capabilities to enumerate environments, move laterally, and exfiltrate data while remaining difficult to distinguish from legitimate activity.

In short, cloud and identity attacks allow Iranian APT groups to operate quietly across hybrid environments. They blend into legitimate user behavior, avoid traditional defenses, and exploit visibility gaps that many organizations still struggle to monitor effectively.

Controles de seguridad para desbaratar el tráfico de APT iraníes

Para reducir su exposición a las técnicas detalladas anteriormente y hacer de su entorno un objetivo más difícil, le recomendamos las siguientes acciones inmediatas:

  1. Aplique la autenticación multifactor para detener phishing y la omisión de la autenticación multifactor.
  2. Habilite el acceso condicional y las políticas de dispositivos en cuentas cloud.
  3. Supervise la actividad de inicio de sesión para detectar IP sospechosas, geografías inusuales e inicios de sesión originados por VPN.
  4. Bloquea las aplicaciones y los permisos OAuth: revisa todos los consentimientos de las aplicaciones y las cuentas de servicio en Microsoft 365/Azure.
  5. Audite regularmente las cuentas privilegiadas, especialmente las que tienen funciones de administrador en Exchange/Azure.
  6. Implemente la formación de usuarios: reconozca los portales de inicio de sesión falsos y las tácticas de ingeniería social.
  7. Supervise la filtración de datos: establezca reglas de DLP y políticas de Cloud Access Security Broker (CASB).
  8. Compruebe el comportamiento push de MFA: restrinja las notificaciones tras repetidos intentos fallidos o utilice opciones de MFA phishing como FIDO2.

These controls harden your environment but detecting credential misuse and network stealth requires active, behavior-driven visibility.

Turn Iranian APT Intelligence Into Immediate Threat Hunting

Understanding how Iranian threat groups operate is only the first step. The next challenge is determining whether those same techniques are already happening inside your environment.

SOC teams don’t need another report explaining attacker tradecraft. What they need are concrete ways to test their environment for those behaviors.

To help security teams move from intelligence to investigation, we created a set of threat hunts tied directly to Iranian APT tradecraft observed in recent campaigns. These hunts surface early indicators across identity and network activity, including:

  • Suspicious Microsoft 365 device registrations linked to credential compromise
  • OilRig command-and-control infrastructure communication
  • SpyNote and QasarRAT DNS activity tied to attacker infrastructure
  • Failed device registrations that may indicate APT35 reconnaissance
  • Network sessions associated with Pupy malware infrastructure

Each hunt includes a ready-to-run query you can execute inside the Vectra AI Platform to quickly identify potential attacker activity.

Hunting for iranian APT related activities in the Vectra AI Platform

Running targeted hunts like these helps analysts move from passive monitoring to proactive detection. Instead of waiting for alerts, your team can directly search for the behaviors Iranian operators rely on once they gain access.

Because these actors blend identity abuse, SaaS activity, and network infrastructure, effective detection requires visibility across all three.

That’s exactly where the Vectra AI Platform provides an advantage.

How the Vectra AI Platform Exposes Iranian APT Activity

Traditional security tools tend to focus on isolated signals: endpoint alerts, firewall logs, or authentication events. Iranian threat actors operate across identity systems, SaaS platforms, and network infrastructure simultaneously, which makes those siloed approaches easy to evade.

The Vectra AI Platform continuously analyzes behavior across: Network traffic Active Directory and Entra ID Microsoft 365 identity activity Cloud platforms including AWS and Azure Instead of relying on static indicators, the platform identifies abnormal behavior that signals compromise even when attackers use legitimate credentials or sanctioned cloud tools.

This gives SOC teams the visibility needed to detect the exact techniques used by Iranian APT groups: credential abuse, identity manipulation, stealthy lateral movement, and covert command-and-control activity.

According to IDC, organizations using Vectra AI identify 52% more threats in at least 50% less time.

A continuación se explica cómo Vectra AI detecta cada una de las cinco técnicas principales utilizadas por las APT iraníes:

Técnica Cobertura de Vectra AI
Robo de credenciales Detecta el espionaje de contraseñas y los comportamientos de inicio de sesión sospechosos, incluida la geografía anómala, los agentes de usuario y los inicios de sesión originados por VPN.
Secuestro de cuentas Cloud Señala el acceso no autorizado a buzones de correo, OneDrive y otros servicios, especialmente cuando el comportamiento se desvía de la línea de base normal del usuario.
Reconocimiento y movimiento lateral Identifica la enumeración de objetos Entra ID, flujos de consentimiento OAuth fraudulentos y actividad sospechosa de suscripción a Azure.
Filtración de datos mediante herramientas legítimas Detecta movimientos anormales de datos a través de aplicaciones SaaS autorizadas, como grandes descargas o transferencias masivas de archivos a través de la API.
Vivir del campo Sale a la luz el abuso de herramientas nativas como Outlook, PowerShell y software de acceso remoto que se integran en los flujos de trabajo rutinarios.

El sitio PlataformaVectra AI no requiere agentes. Se integra de forma nativa con Microsoft y aplica una lógica de detección en tiempo real adaptada a los ataques basados en identidades. Este enfoque ofrece alertas precisas de alta fidelidad y capacidades de respuesta automatizada que permiten a los equipos de los SOC actuar con decisión sin ahogarse en falsos positivos.

¿Ya es cliente de Vectra AI NDR?

Para defenderse de esta nueva oleada de ataques cloud identidad y cloud, recomendamos encarecidamente ampliar su despliegue actual con cobertura de identidad y Cloud . Esto garantiza una visibilidad y protección unificadas en los entornos híbridos en los que prosperan estas amenazas.

Preguntas frecuentes