Lo que el incidente de Stryker revela sobre la estrategia de ataque de Handala.
Leer el blog

Lo que el incidente de Stryker revela sobre la estrategia de ataque de Handala. Leer el blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. Blogs
    >
  2. Ciberataque

¿Están ya las APT iraníes dentro de su red híbrida?

Julio 10, 2025
Lucie Cardiet
Responsable de investigación de ciberamenazas
¿Están ya las APT iraníes dentro de su red híbrida?

La reciente escalada de tensión entre Irán e Israel ha provocado un aumento de las operaciones cibernéticas de actores vinculados al Estado que se centran en las redes de identidad, cloud y las empresas. Estos grupos combinan intrusiones profundas en la red con el abuso de identidades para burlar las defensas tradicionales.

Se aprovechan de las aplicaciones públicas para el acceso inicial, recopilan credenciales a través phishing o la difusión de contraseñas, y luego se mueven lateralmente con RDP, PsExec o servicios de acceso remoto. La persistencia se consigue mediante tareas programadas, carga lateral de DLL, ventanas ocultas y túneles de protocolo. Los datos se organizan, archivan y filtran silenciosamente a través de canales oscuros, a menudo sin activar las alertas heredadas.

Al mismo tiempo, lanzan campañas centradas en la identidad dentro de Microsoft 365, Azure y Google Workspace: abusan de OAuth, eluden MFA y utilizan Outlook, OneDrive y Teams para mantener el acceso y desviar datos. Estas tácticas se dirigen a infraestructuras críticas, gobiernos, empresas comerciales y ONG de Oriente Medio y Occidente, combinando espionaje y ataques destructivos (wipers, cifrado forzado).

Confiar únicamente en los puntos finales o en los controles perimetrales le deja ciego a toda la cadena de ataque. Si utilizas colaboración en cloud , infraestructura híbrida o acceso remoto, ya estás en su punto de mira.

Actividad reciente de actores maliciosos iraníes

Los grupos de ciberamenazas iraníes siguen llevando a cabo operaciones cibernéticas continuadas contra organizaciones de los sectores gubernamental, de las telecomunicaciones, energético y tecnológico. Las campañas recientes muestran que actores como MuddyWater están ampliando el uso del suplantación de identidad y de herramientas cloud, al tiempo que mantienen las técnicas tradicionales de intrusión basadas en PowerShell. En lugar de desplegar malware evidente, estos operadores recurren cada vez más a scripts, herramientas de administración legítimas e infraestructuras comprometidas para mantener el sigilo en entornos híbridos.

Quién está detrás de los ataques: Perfiles de APT vinculadas a Irán

A pesar de que sus objetivos varían (desde el espionaje a largo plazo hasta el sabotaje descarado), cada grupo aprovecha tanto los canales de red como los de identidad para penetrar, persistir y extraer. A continuación se ofrece una visión de alto nivel de su acceso inicial, sus TTP de red y sus TTP de cloud .

Los grupos de ciberamenazas iraníes suelen reutilizar herramientas en diferentes campañas, sobre todo marcos de PowerShell, cargadores de scripts y herramientas de código abierto para el acceso remoto. Esta reutilización hace que la detección basada en el comportamiento, a través de la telemetría de identidades y de red, resulte especialmente eficaz.

Grupo Acceso inicial Tácticas de red Cloud en la nube
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten) Correos electrónicos de phishing con ofertas de empleo, campañas de ingeniería social y explotación de vulnerabilidades conocidas.
  • Ejecución de código malicioso a través de PowerShell y tareas programadas.
  • Moverse lateralmente usando RDP, WMI y credenciales robadas.
  • Volcado de credenciales para escalado y persistencia.
  • Archivar y filtrar datos sensibles a través de canales cifrados u oscuros.
  • Mantenimiento de la ocultación mediante ofuscación, claves de registro y tráfico codificado.
  • phishing mediante anuncios de empleo e ingeniería social para obtener credenciales.
  • Rociado de contraseñas para acceder a cuentas de Office 365 y Azure.
  • Una vez obtenidas las credenciales, acceder a las cuentas a través de VPN comerciales.
  • Uso de herramientas específicas de Azure para enumerar Entra ID (Azure AD) y recopilar datos de usuarios y grupos.
  • Despliegue de ZIPs maliciosos a través de mensajes de Microsoft Teams para extraer información de Active Directory.
APT34 (alias Helix Kitten, OilRig, CHRYSENE, COBALT GYPSY) Correos electrónicos de phishing y falsas ofertas de empleo dirigidas a personas que desempeñan funciones específicas.
  • Utilización de protocolos de escritorio remoto y túneles VPN para desplazarse.
  • Volcado de credenciales y escalada de privilegios a través de exploits conocidos.
  • Filtración de datos a través de túneles DNS, FTP y correo electrónico comprometido.
  • Evadir la detección con enmascaramiento, binarios firmados y manipulación del cortafuegos.
  • Correos electrónicos de phishing y falsas ofertas de empleo para obtener acceso a Exchange y otras cuentas cloud .
  • Aprovechar las funciones del correo electrónico cloud , como Exchange, para filtrar datos de forma sigilosa.
  • Aprovechamiento de los límites de tamaño de transferencia de datos para evitar su detección.
  • Recolección de credenciales y reutilización de las mismas para el movimiento lateral a través de entornos SaaS.
APT35 (alias Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS) Correos electrónicos de phishing , portales de acceso falsos que imitan servicios cloud y cuentas comprometidas.
  • Realización de movimientos laterales mediante RDP y tareas programadas.
  • Volcado de credenciales desde los navegadores y la memoria para un acceso más profundo.
  • Transferencia de datos mediante canales cifrados y plataformas de intercambio cloud .
  • Evadir la seguridad desactivando el registro y mezclando el tráfico C2 con la actividad web.
  • Obtención de credenciales a través de portales de acceso falsos que imitan servicios cloud.
  • Eludir las protecciones MFA mediante ingeniería social y páginas de inicio de sesión falsas y convincentes.
  • Aprovechamiento de vulnerabilidades en Exchange cloud u otras aplicaciones SaaS para obtener acceso privilegiado.
  • Uso de cuentas cloud para recopilar archivos y correos electrónicos de interés de forma silenciosa.
APT42 (alias Crooked Charms) Ingeniería social prolongada y suplantación de contactos de confianza para obtener credenciales.
  • Uso de canales HTTPS cifrados para una transferencia de datos sigilosa.
  • Acceso por túnel a través de VPN falsificadas y sesiones remotas enmascaradas.
  • Ejecución de scripts para descubrimiento, keylogging y recopilación de datos.
  • Mezclarse con el tráfico legítimo para evitar alertas.
  • Ingeniería social extensiva para obtener acceso persistente a Microsoft 365 y plataformas similares.
  • Explotar aplicaciones cliente legítimas para que aparezcan como actividad normal del usuario.
  • Descargar archivos de OneDrive y correos electrónicos de Outlook utilizando la cuenta comprometida sin levantar sospechas.
  • Despliegue de scripts sencillos para extraer datos sensibles.
MuddyWater (alias STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros) phishing aprovechamiento de vulnerabilidades.
  • Ejecución de cargadores basados en PowerShell y entornos de scripting que implementan cargas útiles adicionales desde la memoria.
  • Utilizar servidores web comprometidos e infraestructura de alojamiento legítima para el tráfico de comando y control.
  • Desplazarse lateralmente utilizando herramientas de administración remota, PowerShell Remoting y WMI.
  • Preparar datos para su exfiltración a través de canales C2 basados en HTTP, camuflándolos entre la actividad normal de la red.
  • Ataques dirigidos a las credenciales de Microsoft 365 mediante campañas phishing ingeniería social.
  • El uso indebido de cloud legítimos cloud , como Outlook, OneDrive y SharePoint, para recopilar y trasladar datos confidenciales.
  • Utilizar cuentas comprometidas para enviar phishing internos y ampliar el acceso dentro del inquilino.
  • Aprovechar sesiones de autenticación legítimas para mantener la persistencia sin instalar malware evidente.
Gatito rampante Aplicaciones Android maliciosas y phishing para robar credenciales y obtener el control del dispositivo.
  • Entrega de cargas útiles a través de documentos Word de plantillas remotas alojados en dominios SharePoint falsificados.
  • Mantenimiento de C2 mediante SOAP sobre HTTPS con puntos finales alternativos al estilo de OneDrive.
  • Exfiltración de tokens de Telegram, bóvedas de KeePass y archivos confidenciales mediante cargas codificadas en base64.
  • Persiste reemplazando el actualizador de Telegram e inyectando cargas útiles en explorer.exe.
  • Ampliación de la recopilación a través de puertas traseras de Android y sitios de phishing de Telegram.
  • Phishing de credenciales de Google imitando páginas de inicio de sesión legítimas en dispositivos Android.
  • Uso de las credenciales capturadas para iniciar sesión en Gmail y otros servicios cloud de Google.
  • Extraer datos a través de las sesiones del navegador y las funciones integradas de las aplicaciones cloud , evitando al mismo tiempo los indicadores obvios de malware .
Agrius (alias DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten) Despliegue de webshells tras phishing o explotación de servidores vulnerables.
  • Obtención de acceso aprovechando aplicaciones de cara al público y configuraciones erróneas.
  • Realización de reconocimientos internos y movimientos laterales a través de túneles de escritorio remotos.
  • Volcado de credenciales para escalada de privilegios y persistencia.
  • Puesta en escena y exfiltración de datos mediante métodos de transferencia habituales.
  • Deteriorar las herramientas de seguridad y disfrazar la actividad para eludir la detección.
  • Despliegue de scripts para extraer credenciales de cuentas internas tras un acceso phishing o ingeniería social.
  • Pivotar lateralmente utilizando credenciales válidas y sesiones autorizadas en aplicaciones cloud .

Cinco técnicas de identidad y Cloud que los equipos SOC deben vigilar

Las amenazas afiliadas a Irán van más allá malware y los exploits tradicionales. Sus campañas se basan ahora en abusar de los sistemas de identidad y vivir dentro de las herramientas de confianza que su organización ya utiliza. Estas cinco técnicas son fundamentales para eludir la detección y mantener la persistencia en entornos de cloud . Cada una de ellas representa una brecha de visibilidad crítica si su equipo confía únicamente en las herramientas EDR o SIEM tradicionales.

  1. Robo de credenciales mediante spear Phishing
    Portales de inicio de sesión falsos que imitan Office 365 o Gmail, pulverización de contraseñas y técnicas de elusión de MFA.
  2. Secuestros de cuentasCloud
    Uso de credenciales robadas para acceder al correo electrónico, OneDrive, SharePoint o aplicaciones de Azure.
  3. Movimiento Recon y Lateral
    Enumeración de Entra ID (Azure AD), creación de aplicaciones OAuth falsas o suscripciones para persistencia.
  4. Exfiltración de datos a través de herramientas legítimas
    Traslado de datos a través de OneDrive, Outlook o API basadas en web para ocultarse dentro del tráfico normal.
  5. Scripts «Living-Off-the-Land» y Cloud
    Los actores maliciosos iraníes recurren cada vez más a cargadores de PowerShell, scripts administrativos y cloud legítimas cloud , en lugar de malware personalizado.
TA0001Acceso inicial TA0002Ejecución TA0003Persistencia TA0004Escaladade privilegios TA0005Evasiónde la defensa TA0006Accesoa credenciales TA0007Descubrimiento TA0008Movimiento lateral TA0009Colección TA0011Command & Control TA0010Exfiltración TA0040Impacto
T1566.001Anexo de suplantación de identidad T1047Instrumentosde gestión de Windows T1098.005Registrode dispositivos T1068Explotaciónpara Escalada de Privilegios T1564.004Ventana oculta T1110.001Pulverizaciónde contraseñas T1012Registrode consultas T1021.001RDP T1560Archivode datos recogidos T1071.001Protocolos web T1048AltProtocolo de Exfiltración T1485Destrucciónde datos
T1566.002Enlacede suplantación de identidad T1053.005Tarea/trabajo programado T1547Arranqueo inicio de sesión automático T1055Proceso deinyección T1036.005Masquerading T1555Credencialesde almacenes de contraseñas T1082Descubrimientode información del sistema T1021.002SMBAcciones de administración T1102.001Resolvedor de gota muerta T1486Datoscifrados por impacto
T1133Serviciosremotos externos T1059.001Concha de potencia T1562.001Desactivaro modificar herramientas T1555.003Credencialesde navegadores web T1069.002Descubrimientode grupos de dominios
T1190ExploitAplicación de cara al público T1572Túnelde protocolo Volcado de credenciales T1003OS T1069.Cloud de grupos en la nube
T1556.006MFAGeneración de solicitudes T1482Descubrimientode la confianza en el dominio
T1558.003Kerberoasting

MITRE Técnicas utilizadas por las APT iraníes

Por qué las APT iraníes tienen como objetivo Cloud y la identidad

Para los grupos de ciberdelincuentes iraníes, cloud y los sistemas de identidad ofrecen escalabilidad, discreción y acceso estratégico. Estos atacantes están adaptando sus operaciones para ajustarse al modo en que funcionan realmente las organizaciones hoy en día. El acceso remoto, la identidad federada y la infraestructura cloud han creado una amplia superficie de ataque en la que los controles tradicionales suelen carecer de visibilidad.

Entre las principales razones por las que estos entornos son objetivos atractivos se encuentran:

  • La identidad es la nueva línea de defensa. Una vez que los atacantes obtienen credenciales válidas vinculadas a plataformas SaaS o a roles cloud , suelen eludir por completo las defensas tradicionales. Las herramientas de seguridad centradas en los terminales o en los cortafuegos rara vez detectan llamadas a la API autenticadas o comportamientos de inicio de sesión anómalos cuando la sesión parece legítima.
  • Cloud ofrecen una cobertura operativa. Los grupos APT iraníes suelen actuar desde aplicaciones sujetas a sanciones, como Microsoft 365, Azure y Google Workspace. Aprovechan las políticas de OAuth deficientes, las reglas de acceso condicional mal configuradas y los privilegios excesivos para mantener su persistencia, al tiempo que se camuflan entre la actividad normal de los usuarios.
  • Las redes híbridas ofrecen oportunidades de expansión. Muchas organizaciones mantienen conexiones entre sistemas locales y cloud . Los actores iraníes han aprovechado indebidamente los servicios de sincronización de identidades y las herramientas de gestión híbrida para pasar de sistemas internos comprometidos a cloud , lo que les permite ampliar su acceso a todos los entornos.
  • Las técnicas de «Living-off-the-land» reducen malware . Las campañas recientes de grupos como MuddyWater muestran una gran dependencia de los cargadores de PowerShell y de marcos basados en scripts que ejecutan las cargas útiles directamente en memoria. En lugar de desplegar malware evidente, los atacantes obtienen herramientas de forma dinámica y operan utilizando las capacidades nativas del sistema.
  • Las herramientasCloud tienen un doble uso. Herramientas como la API de Microsoft Graph, PowerShell, Outlook, la mensajería de Teams y el software de administración remota están diseñadas para facilitar la productividad. Los actores iraníes utilizan habitualmente estas mismas capacidades para identificar entornos, desplazarse lateralmente y sustraer datos, sin que resulte fácil distinguirlos de la actividad legítima.

En resumen, los ataques cloud a la identidad permiten a los grupos APT iraníes actuar de forma sigilosa en entornos híbridos. Se camuflan entre el comportamiento legítimo de los usuarios, eluden las defensas tradicionales y aprovechan las lagunas de visibilidad que muchas organizaciones aún tienen dificultades para controlar de manera eficaz.

Controles de seguridad para desbaratar el tráfico de APT iraníes

Para reducir su exposición a las técnicas detalladas anteriormente y hacer de su entorno un objetivo más difícil, le recomendamos las siguientes acciones inmediatas:

  1. Aplique la autenticación multifactor para detener phishing y la omisión de la autenticación multifactor.
  2. Habilite el acceso condicional y las políticas de dispositivos en cuentas cloud.
  3. Supervise la actividad de inicio de sesión para detectar IP sospechosas, geografías inusuales e inicios de sesión originados por VPN.
  4. Bloquea las aplicaciones y los permisos OAuth: revisa todos los consentimientos de las aplicaciones y las cuentas de servicio en Microsoft 365/Azure.
  5. Audite regularmente las cuentas privilegiadas, especialmente las que tienen funciones de administrador en Exchange/Azure.
  6. Implemente la formación de usuarios: reconozca los portales de inicio de sesión falsos y las tácticas de ingeniería social.
  7. Supervise la filtración de datos: establezca reglas de DLP y políticas de Cloud Access Security Broker (CASB).
  8. Compruebe el comportamiento push de MFA: restrinja las notificaciones tras repetidos intentos fallidos o utilice opciones de MFA phishing como FIDO2.

Estos controles refuerzan la seguridad de su entorno, pero para detectar el uso indebido de credenciales y las actividades ocultas en la red se necesita una visibilidad activa basada en el comportamiento.

Convierte la información de inteligencia sobre APT iraníes en una búsqueda inmediata de amenazas

Comprender cómo operan los grupos de ciberdelincuentes iraníes es solo el primer paso. El siguiente reto consiste en determinar si esas mismas técnicas ya se están utilizando en su entorno.

Los equipos de SOC no necesitan otro informe que explique las técnicas de los atacantes. Lo que necesitan son métodos concretos para detectar esos comportamientos en su entorno.

Para ayudar a los equipos de seguridad a pasar de la fase de inteligencia a la de investigación, hemos creado una serie de búsquedas de amenazas directamente relacionadas con las técnicas utilizadas por los grupos APT iraníes observadas en campañas recientes. Estas búsquedas detectan indicadores tempranos en la actividad de identidades y de red, entre los que se incluyen:

  • Registros sospechosos de dispositivos de Microsoft 365 relacionados con el robo de credenciales
  • Comunicaciones de la infraestructura de mando y control de OilRig
  • La actividad DNS de SpyNote y QasarRAT está vinculada a la infraestructura de los atacantes
  • Registros de dispositivos fallidos que podrían indicar actividades de reconocimiento por parte de APT35
  • Sesiones de red asociadas a malware Pupy

Cada búsqueda incluye una consulta lista para ejecutar que puedes ejecutar dentro de la Vectra AI para identificar rápidamente posibles actividades de atacantes.

Búsqueda de actividades relacionadas con el APT iraní en la Vectra AI

La realización de búsquedas específicas como estas ayuda a los analistas a pasar de una supervisión pasiva a una detección proactiva. En lugar de esperar a que se activen las alertas, tu equipo puede buscar directamente los comportamientos que suelen emplear los operadores iraníes una vez que consiguen acceder al sistema.

Dado que estos actores combinan el uso indebido de identidades, las actividades de SaaS y la infraestructura de red, para una detección eficaz es necesario tener visibilidad sobre los tres aspectos.

Ahí es precisamente donde la Vectra AI ofrece una ventaja.

Cómo la Vectra AI pone al descubierto la actividad de los grupos APT iraníes

Las herramientas de seguridad tradicionales suelen centrarse en señales aisladas: alertas de terminales, registros de cortafuegos o eventos de autenticación. Los actores maliciosos iraníes operan simultáneamente en sistemas de identidad, plataformas SaaS e infraestructura de red, lo que hace que esos enfoques aislados sean fáciles de eludir.

La Vectra AI analiza continuamente el comportamiento en: el tráfico de red, Active Directory y Entra ID, la actividad de identidades de Microsoft 365 y Cloud , incluidas AWS y Azure. En lugar de basarse en indicadores estáticos, la plataforma identifica comportamientos anómalos que indican un compromiso de seguridad, incluso cuando los atacantes utilizan credenciales legítimas o cloud autorizadas.

Esto proporciona a los equipos de SOC la visibilidad necesaria para detectar las técnicas exactas que utilizan los grupos APT iraníes: uso indebido de credenciales, manipulación de identidades, movimiento lateral sigiloso y actividades encubiertas de comando y control.

Según IDC, las organizaciones que utilizan Vectra AI un 52 % más de amenazas en al menos un 50 % menos de tiempo.

A continuación se explica cómo Vectra AI detecta cada una de las cinco técnicas principales utilizadas por las APT iraníes:

Técnica Cobertura de Vectra AI
Robo de credenciales Detecta el espionaje de contraseñas y los comportamientos de inicio de sesión sospechosos, incluida la geografía anómala, los agentes de usuario y los inicios de sesión originados por VPN.
Secuestro de cuentas Cloud Señala el acceso no autorizado a buzones de correo, OneDrive y otros servicios, especialmente cuando el comportamiento se desvía de la línea de base normal del usuario.
Reconocimiento y movimiento lateral Identifica la enumeración de objetos Entra ID, flujos de consentimiento OAuth fraudulentos y actividad sospechosa de suscripción a Azure.
Filtración de datos mediante herramientas legítimas Detecta movimientos anormales de datos a través de aplicaciones SaaS autorizadas, como grandes descargas o transferencias masivas de archivos a través de la API.
Vivir del campo Sale a la luz el abuso de herramientas nativas como Outlook, PowerShell y software de acceso remoto que se integran en los flujos de trabajo rutinarios.

El sitio PlataformaVectra AI no requiere agentes. Se integra de forma nativa con Microsoft y aplica una lógica de detección en tiempo real adaptada a los ataques basados en identidades. Este enfoque ofrece alertas precisas de alta fidelidad y capacidades de respuesta automatizada que permiten a los equipos de los SOC actuar con decisión sin ahogarse en falsos positivos.

¿Ya es cliente de Vectra AI NDR?

Para defenderse de esta nueva oleada de ataques cloud identidad y cloud, recomendamos encarecidamente ampliar su despliegue actual con cobertura de identidad y Cloud . Esto garantiza una visibilidad y protección unificadas en los entornos híbridos en los que prosperan estas amenazas.

Preguntas frecuentes