¿Están ya las APT iraníes dentro de su red híbrida?

10 de julio de 2025

Responsable de investigación de ciberamenazas

¿Están ya las APT iraníes dentro de su red híbrida?

La reciente escalada de tensión entre Irán e Israel ha provocado un aumento de las operaciones cibernéticas de actores vinculados al Estado que se centran en las redes de identidad, cloud y las empresas. Estos grupos combinan intrusiones profundas en la red con el abuso de identidades para burlar las defensas tradicionales.

Se aprovechan de las aplicaciones públicas para el acceso inicial, recopilan credenciales a través phishing o la difusión de contraseñas, y luego se mueven lateralmente con RDP, PsExec o servicios de acceso remoto. La persistencia se consigue mediante tareas programadas, carga lateral de DLL, ventanas ocultas y túneles de protocolo. Los datos se organizan, archivan y filtran silenciosamente a través de canales oscuros, a menudo sin activar las alertas heredadas.

Al mismo tiempo, lanzan campañas centradas en la identidad dentro de Microsoft 365, Azure y Google Workspace: abusan de OAuth, eluden MFA y utilizan Outlook, OneDrive y Teams para mantener el acceso y desviar datos. Estas tácticas se dirigen a infraestructuras críticas, gobiernos, empresas comerciales y ONG de Oriente Medio y Occidente, combinando espionaje y ataques destructivos (wipers, cifrado forzado).

Confiar únicamente en los puntos finales o en los controles perimetrales le deja ciego a toda la cadena de ataque. Si utilizas colaboración en cloud , infraestructura híbrida o acceso remoto, ya estás en su punto de mira.

Quién está detrás de los ataques: Perfiles de APT vinculadas a Irán

A pesar de que sus objetivos varían (desde el espionaje a largo plazo hasta el sabotaje descarado), cada grupo aprovecha tanto los canales de red como los de identidad para penetrar, persistir y extraer. A continuación se ofrece una visión de alto nivel de su acceso inicial, sus TTP de red y sus TTP de cloud .

Grupo	Acceso inicial	Tácticas de red	Cloud en la nube
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten)	Correos electrónicos de phishing con ofertas de empleo, campañas de ingeniería social y explotación de vulnerabilidades conocidas.	Ejecución de código malicioso a través de PowerShell y tareas programadas. Moverse lateralmente usando RDP, WMI y credenciales robadas. Volcado de credenciales para escalado y persistencia. Archivar y filtrar datos sensibles a través de canales cifrados u oscuros. Mantenimiento de la ocultación mediante ofuscación, claves de registro y tráfico codificado.	phishing mediante anuncios de empleo e ingeniería social para obtener credenciales. Rociado de contraseñas para acceder a cuentas de Office 365 y Azure. Una vez obtenidas las credenciales, acceder a las cuentas a través de VPN comerciales. Uso de herramientas específicas de Azure para enumerar Entra ID (Azure AD) y recopilar datos de usuarios y grupos. Despliegue de ZIPs maliciosos a través de mensajes de Microsoft Teams para extraer información de Active Directory.
APT34 (alias Helix Kitten, OilRig, CHRYSENE, COBALT GYPSY)	Correos electrónicos de phishing y falsas ofertas de empleo dirigidas a personas que desempeñan funciones específicas.	Utilización de protocolos de escritorio remoto y túneles VPN para desplazarse. Volcado de credenciales y escalada de privilegios a través de exploits conocidos. Filtración de datos a través de túneles DNS, FTP y correo electrónico comprometido. Evadir la detección con enmascaramiento, binarios firmados y manipulación del cortafuegos.	Correos electrónicos de phishing y falsas ofertas de empleo para obtener acceso a Exchange y otras cuentas cloud . Aprovechar las funciones del correo electrónico cloud , como Exchange, para filtrar datos de forma sigilosa. Aprovechamiento de los límites de tamaño de transferencia de datos para evitar su detección. Recolección de credenciales y reutilización de las mismas para el movimiento lateral a través de entornos SaaS.
APT35 (alias Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS)	Correos electrónicos de phishing , portales de acceso falsos que imitan servicios cloud y cuentas comprometidas.	Realización de movimientos laterales mediante RDP y tareas programadas. Volcado de credenciales desde los navegadores y la memoria para un acceso más profundo. Transferencia de datos mediante canales cifrados y plataformas de intercambio cloud . Evadir la seguridad desactivando el registro y mezclando el tráfico C2 con la actividad web.	Obtención de credenciales a través de portales de acceso falsos que imitan servicios cloud. Eludir las protecciones MFA mediante ingeniería social y páginas de inicio de sesión falsas y convincentes. Aprovechamiento de vulnerabilidades en Exchange cloud u otras aplicaciones SaaS para obtener acceso privilegiado. Uso de cuentas cloud para recopilar archivos y correos electrónicos de interés de forma silenciosa.
APT42 (alias Crooked Charms)	Ingeniería social prolongada y suplantación de contactos de confianza para obtener credenciales.	Uso de canales HTTPS cifrados para una transferencia de datos sigilosa. Acceso por túnel a través de VPN falsificadas y sesiones remotas enmascaradas. Ejecución de scripts para descubrimiento, keylogging y recopilación de datos. Mezclarse con el tráfico legítimo para evitar alertas.	Ingeniería social extensiva para obtener acceso persistente a Microsoft 365 y plataformas similares. Explotar aplicaciones cliente legítimas para que aparezcan como actividad normal del usuario. Descargar archivos de OneDrive y correos electrónicos de Outlook utilizando la cuenta comprometida sin levantar sospechas. Despliegue de scripts sencillos para extraer datos sensibles.
MuddyWater (alias STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros)	phishing con archivos adjuntos o enlaces maliciosos enviados a través de cuentas comprometidas.	Ejecución de scripts y malware mediante PowerShell, VBScript y tareas programadas. Desplazamiento lateral mediante herramientas de acceso remoto y WMI. Volcado de credenciales desde memoria, navegadores y fuentes en caché. Establecimiento de la persistencia mediante claves de registro y carga lateral de DLL. Exfiltración de datos comprimidos a través de canales C2 basados en HTTP.	phishing con adjuntos y enlaces maliciosos para robar credenciales de aplicaciones cloud . Utilizar las cuentas comprometidas para enviar más correos electrónicos phishing internamente, creando un efecto cascada. Atacar los procesos de restablecimiento de credenciales y los sistemas MFA para hacerse con el control de las cuentas cloud .
Gatito rampante	Aplicaciones Android maliciosas y phishing para robar credenciales y obtener el control del dispositivo.	Entrega de cargas útiles a través de documentos Word de plantillas remotas alojados en dominios SharePoint falsificados. Mantenimiento de C2 mediante SOAP sobre HTTPS con puntos finales alternativos al estilo de OneDrive. Exfiltración de tokens de Telegram, bóvedas de KeePass y archivos confidenciales mediante cargas codificadas en base64. Persiste reemplazando el actualizador de Telegram e inyectando cargas útiles en explorer.exe. Ampliación de la recopilación a través de puertas traseras de Android y sitios de phishing de Telegram.	Phishing de credenciales de Google imitando páginas de inicio de sesión legítimas en dispositivos Android. Uso de las credenciales capturadas para iniciar sesión en Gmail y otros servicios cloud de Google. Extraer datos a través de las sesiones del navegador y las funciones integradas de las aplicaciones cloud , evitando al mismo tiempo los indicadores obvios de malware .
Agrius (alias DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten)	Despliegue de webshells tras phishing o explotación de servidores vulnerables.	Obtención de acceso aprovechando aplicaciones de cara al público y configuraciones erróneas. Realización de reconocimientos internos y movimientos laterales a través de túneles de escritorio remotos. Volcado de credenciales para escalada de privilegios y persistencia. Puesta en escena y exfiltración de datos mediante métodos de transferencia habituales. Deteriorar las herramientas de seguridad y disfrazar la actividad para eludir la detección.	Despliegue de scripts para extraer credenciales de cuentas internas tras un acceso phishing o ingeniería social. Pivotar lateralmente utilizando credenciales válidas y sesiones autorizadas en aplicaciones cloud .

Cinco técnicas de identidad y Cloud que los equipos SOC deben vigilar

Las amenazas afiliadas a Irán van más allá malware y los exploits tradicionales. Sus campañas se basan ahora en abusar de los sistemas de identidad y vivir dentro de las herramientas de confianza que su organización ya utiliza. Estas cinco técnicas son fundamentales para eludir la detección y mantener la persistencia en entornos de cloud . Cada una de ellas representa una brecha de visibilidad crítica si su equipo confía únicamente en las herramientas EDR o SIEM tradicionales.

Robo de credenciales mediante spear Phishing
Portales de inicio de sesión falsos que imitan Office 365 o Gmail, pulverización de contraseñas y técnicas de elusión de MFA.
Secuestros de cuentasCloud
Uso de credenciales robadas para acceder al correo electrónico, OneDrive, SharePoint o aplicaciones de Azure.
Movimiento Recon y Lateral
Enumeración de Entra ID (Azure AD), creación de aplicaciones OAuth falsas o suscripciones para persistencia.
Exfiltración de datos a través de herramientas legítimas
Traslado de datos a través de OneDrive, Outlook o API basadas en web para ocultarse dentro del tráfico normal.
Vivir al margen de SaaS y Cloud
Utilizar clientes SaaS integrados, como Outlook, o herramientas de acceso remoto, como AnyDesk/TeamViewer, para controlar las cuentas cloud .

TA0001Acceso inicial	TA0002Ejecución	TA0003Persistencia	TA0004Escaladade privilegios	TA0005Evasiónde la defensa	TA0006Accesoa credenciales	TA0007Descubrimiento	TA0008Movimiento lateral	TA0009Colección	TA0011Command & Control	TA0010Exfiltración	TA0040Impacto
T1566.001Anexo de suplantación de identidad	T1047Instrumentosde gestión de Windows	T1098.005Registrode dispositivos	T1068Explotaciónpara Escalada de Privilegios	T1564.004Ventana oculta	T1110.001Pulverizaciónde contraseñas	T1012Registrode consultas	T1021.001RDP	T1560Archivode datos recogidos	T1071.001Protocolos web	T1048AltProtocolo de Exfiltración	T1485Destrucciónde datos
T1566.002Enlacede suplantación de identidad	T1053.005Tarea/trabajo programado	T1547Arranqueo inicio de sesión automático	T1055Proceso deinyección	T1036.005Masquerading	T1555Credencialesde almacenes de contraseñas	T1082Descubrimientode información del sistema	T1021.002SMBAcciones de administración		T1102.001Resolvedor de gota muerta		T1486Datoscifrados por impacto
T1133Serviciosremotos externos	T1059.001Concha de potencia			T1562.001Desactivaro modificar herramientas	T1555.003Credencialesde navegadores web	T1069.002Descubrimientode grupos de dominios
T1190ExploitAplicación de cara al público				T1572Túnelde protocolo	Volcado de credenciales T1003OS	T1069.Cloud de grupos en la nube
					T1556.006MFAGeneración de solicitudes	T1482Descubrimientode la confianza en el dominio
					T1558.003Kerberoasting

MITRE Técnicas utilizadas por las APT iraníes

Por qué las APT iraníes tienen como objetivo Cloud y la identidad

Para los grupos de amenazas iraníes, cloud y los sistemas de identidad ofrecen escala, sigilo y valor estratégico. Estos atacantes no sólo son oportunistas, sino que se están adaptando a la forma en que operan ahora las organizaciones. El acceso remoto, la identidad federada y la infraestructura cloud han creado una amplia superficie de ataque con visibilidad limitada para muchos equipos de seguridad.

La identidad es el nuevo perímetro. Una vez que los atacantes obtienen credenciales válidas, especialmente las vinculadas a plataformas SaaS o funciones de administrador cloud , a menudo eluden por completo la detección. Las herramientas de seguridad centradas en puntos finales o cortafuegos rara vez detectan llamadas a API autenticadas o comportamientos de inicio de sesión anómalos si la sesión parece legítima.
Los entornosCloud proporcionan cobertura. Las APT iraníes suelen operar en aplicaciones autorizadas como Microsoft 365, Azure y Google Workspace. Se aprovechan de políticas OAuth débiles, accesos condicionales mal configurados y privilegios de administrador excesivos. Esto les permite persistir en entornos en los que los controles tradicionales no se diseñaron para inspeccionar anomalías de comportamiento entre usuarios, funciones y aplicaciones.
Las redes híbridas ofrecen puntos de inflexión. En muchos casos, los atacantes comprometen los sistemas locales y utilizan ese punto de apoyo para acceder a los recursos conectados cloud . Microsoft ha documentado ataques en los que actores iraníes abusaron de Entra Connect y Azure Arc para tender puentes entre los entornos locales comprometidos y los activos cloud , incluida la creación de nuevas infraestructuras dentro de los inquilinos comprometidos.
Las herramientasCloud nube son de doble uso. PowerShell, Microsoft Graph API, la mensajería de Teams y la delegación de buzones de correo están pensadas para facilitar la colaboración. Los actores iraníes están utilizando esas mismas capacidades para enumerar entornos, compartir malware y mover datos. Como rara vez introducen nuevos binarios o infraestructura externa, evitan activar los indicadores clásicos de compromiso.

En resumen, los ataques a cloud y a la identidad permiten a las APT iraníes moverse de forma silenciosa y eficaz. Se mezclan con el comportamiento de los usuarios, evitan las defensas tradicionales y aprovechan brechas que la mayoría de las organizaciones no ven hasta que es demasiado tarde.

Controles de seguridad para desbaratar el tráfico de APT iraníes

Para reducir su exposición a las técnicas detalladas anteriormente y hacer de su entorno un objetivo más difícil, le recomendamos las siguientes acciones inmediatas:

Aplique la autenticación multifactor para detener phishing y la omisión de la autenticación multifactor.
Habilite el acceso condicional y las políticas de dispositivos en cuentas cloud.
Supervise la actividad de inicio de sesión para detectar IP sospechosas, geografías inusuales e inicios de sesión originados por VPN.
Bloquea las aplicaciones y los permisos OAuth: revisa todos los consentimientos de las aplicaciones y las cuentas de servicio en Microsoft 365/Azure.
Audite regularmente las cuentas privilegiadas, especialmente las que tienen funciones de administrador en Exchange/Azure.
Implemente la formación de usuarios: reconozca los portales de inicio de sesión falsos y las tácticas de ingeniería social.
Supervise la filtración de datos: establezca reglas de DLP y políticas de Cloud Access Security Broker (CASB).
Compruebe el comportamiento push de MFA: restrinja las notificaciones tras repetidos intentos fallidos o utilice opciones de MFA phishing como FIDO2.

Estos controles refuerzan su entorno, pero para detectar el uso indebido de credenciales y la ocultación en la red se requiere una visibilidad activa basada en el comportamiento.

Cómo la plataforma Vectra AI detecta lo que otros pasan por alto

La mayoría de las herramientas de seguridad no detectan la actividad de las APT iraníes porque no están diseñadas para supervisar cómo operan los atacantes en entornos de cloud e identidad. La plataforma Vectra AI se diseñó específicamente para colmar esta laguna.

En lugar de basarse en indicadores estáticos o registros manipulables, Vectra AI utiliza la detección de comportamientos basada en IA para identificar actividades anómalas en la red, Active Directory, Microsoft 365, Entra ID, Copilot para M365, AWS y Azure Cloud. Supervisa continuamente cómo interactúan los usuarios con las aplicaciones, las credenciales, los tokens y los datos, sacando a la luz señales que indican un peligro sin necesidad de que los actores de la amenaza activen alarmas obvias.

Pero la detección por sí sola no basta. La plataforma Vectra AI también proporciona claridad sobre qué alertas son realmente importantes, eliminando el ruido y permitiendo a los equipos SOC centrarse en las señales que indican amenazas reales. Con acciones de respuesta integradas, los analistas pueden tomar medidas inmediatas para contener un ataque -ya sea revocando sesiones o bloqueando cuentas- antes de que se extienda el daño. Esta combinación de detección, claridad y control da a los equipos de seguridad la confianza necesaria para responder con decisión a los sofisticados ataques modernos. Según IDC, las organizaciones que utilizan Vectra AI identifican un 52% más de amenazas en al menos un 50% menos de tiempo.

A continuación se explica cómo Vectra AI detecta cada una de las cinco técnicas principales utilizadas por las APT iraníes:

Técnica	Cobertura de Vectra AI
Robo de credenciales	Detecta el espionaje de contraseñas y los comportamientos de inicio de sesión sospechosos, incluida la geografía anómala, los agentes de usuario y los inicios de sesión originados por VPN.
Secuestro de cuentas Cloud	Señala el acceso no autorizado a buzones de correo, OneDrive y otros servicios, especialmente cuando el comportamiento se desvía de la línea de base normal del usuario.
Reconocimiento y movimiento lateral	Identifica la enumeración de objetos Entra ID, flujos de consentimiento OAuth fraudulentos y actividad sospechosa de suscripción a Azure.
Filtración de datos mediante herramientas legítimas	Detecta movimientos anormales de datos a través de aplicaciones SaaS autorizadas, como grandes descargas o transferencias masivas de archivos a través de la API.
Vivir del campo	Sale a la luz el abuso de herramientas nativas como Outlook, PowerShell y software de acceso remoto que se integran en los flujos de trabajo rutinarios.

El sitio PlataformaVectra AI no requiere agentes. Se integra de forma nativa con Microsoft y aplica una lógica de detección en tiempo real adaptada a los ataques basados en identidades. Este enfoque ofrece alertas precisas de alta fidelidad y capacidades de respuesta automatizada que permiten a los equipos de los SOC actuar con decisión sin ahogarse en falsos positivos.

¿Ya es cliente de Vectra AI NDR?

Para defenderse de esta nueva oleada de ataques cloud identidad y cloud, recomendamos encarecidamente ampliar su despliegue actual con cobertura de identidad y Cloud . Esto garantiza una visibilidad y protección unificadas en los entornos híbridos en los que prosperan estas amenazas.

Ahora es el momento de ver lo que otros no pueden.

Vea la demostración autoguiada de la plataforma Vectra AI para comprobar cómo ayudamos a los equipos SOC a detectar amenazas que otros no pueden.
Lea la opinión de nuestro vicepresidente de producto, Mark Wojtasiak, sobre por qué Vectra AI destaca en The 2025 Gartner® Magic Quadrant™ for Network Detection and Response (NDR).
Obtenga más información sobre por qué Vectra AI es líder y supera a otros en el Informe GigaOm Radar 2025 para la Detección y Respuesta a Amenazas de Identidad (ITDR).

¿Quiere saber más?

Vectra AI es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos