English
El conflicto geopolítico entre Irán e Israel ha dado lugar a una nueva ola de ciberespionaje. Según un informe de la firma de seguridad móvil Lookout, el grupo de amenazas persistentes avanzadas (APT) vinculado al gobierno iraní, conocido como MuddyWater—también identificado como Mango Sandstorm, Mercury, Seedworm o Static Kitten—ha estado desplegando nuevas versiones del software espía para Android DCHSpy desde el inicio de las hostilidades.
Activo al menos desde 2017 y vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS), MuddyWater es conocido por llevar a cabo operaciones de espionaje centradas en Oriente Medio. Las muestras más recientes de DCHSpy fueron detectadas una semana después de comenzar el conflicto y parecen haber sido distribuidas disfrazadas como aplicaciones de VPN o banca, utilizando temas políticos como señuelo.
DCHSpy: una herramienta de vigilancia sofisticada en constante evolución
Lookout explica que DCHSpy probablemente fue desarrollado y sigue siendo mantenido directamente por MuddyWater para fines de vigilancia. Además, comparte infraestructura con SandStrike, otro spyware para Android atribuido al mismo grupo.
En el análisis, Lookout encontró una muestra de SandStrike con un archivo de configuración VPN malicioso que conectaba con la infraestructura del grupo y permitía desplegar un RAT (troyano de acceso remoto) basado en PowerShell.
DCHSpy emplea tácticas similares, distribuyéndose mediante enlaces falsos enviados directamente a objetivos específicos a través de aplicaciones de mensajería como Telegram. Una vez instalado, el malware modular puede acceder a:
- Cuentas de usuario y contactos
- Mensajes SMS y archivos locales
- Historial de llamadas y datos de ubicación
- Información de WhatsApp
- Micrófono y cámara (para grabar audio o tomar fotos)
Toda esta información es comprimida, cifrada con una contraseña recibida desde un servidor de comando y control (C2) y luego enviada a un servidor SFTP.
Disfrazado como apps VPN con señuelos políticos
Desde el inicio del conflicto, las muestras de DCHSpy han sido distribuidas bajo nombres como Earth VPN, Comodo VPN, Hide VPN y Hazrat Eshq, promocionadas en canales de Telegram dirigidos a usuarios de habla inglesa y farsi. Estas apps utilizan mensajes anti-Irán y temas políticos para atraer descargas.
En un caso específico, una muestra de Earth VPN se difundió utilizando señuelos relacionados con Starlink, aprovechando los reportes sobre el posible uso de esta tecnología para ofrecer internet a la población iraní durante los apagones impuestos por el gobierno tras las tensiones con Israel.
Creciente amenaza móvil desde actores iraníes
Hasta la fecha, Lookout ha identificado 17 familias de malware móvil utilizadas por al menos 10 grupos APT iraníes en campañas de vigilancia contra usuarios de teléfonos móviles. La aparición de nuevas muestras de DCHSpy demuestra el continuo desarrollo de esta herramienta de espionaje, especialmente en un contexto de represión interna tras el cese al fuego con Israel.
Este caso pone en evidencia la necesidad urgente de reforzar la ciberseguridad móvil, implementar soluciones de detección avanzada de amenazas y promover la concientización de los usuarios, en un entorno donde la vigilancia digital se ha convertido en un arma estratégica.
