Un grupo de hackers vinculado a Irán ha sido relacionado con una campaña coordinada y en múltiples oleadas de spear-phishing que tuvo como blanco a embajadas y consulados en Europa y otras regiones del mundo.

La operación, identificada por la firma israelí de ciberseguridad Dream, se atribuye a operadores alineados con el grupo Homeland Justice, previamente asociado con actividades ofensivas de ciberespionaje.

Según Dream, “se enviaron correos electrónicos a múltiples destinatarios gubernamentales en todo el mundo, disfrazados como comunicaciones diplomáticas legítimas”. La evidencia apunta a un esfuerzo regional de espionaje dirigido a entidades diplomáticas y gubernamentales en un contexto de crecientes tensiones geopolíticas.

Tácticas del ataque

La campaña se apoyó en correos de spear-phishing que explotaban temas sensibles relacionados con las tensiones entre Irán e Israel. Las víctimas recibieron documentos de Microsoft Word maliciosos que les pedían habilitar el contenido. Al hacerlo, se ejecutaba un macro de VBA incrustado, encargado de desplegar la carga maliciosa.

Los mensajes fueron enviados a embajadas, consulados y organismos internacionales en Medio Oriente, África, Europa, Asia y América. Los reportes indican que las embajadas europeas y las instituciones africanas fueron las más afectadas.

Para ganar credibilidad, los atacantes utilizaron 104 cuentas de correo comprometidas pertenecientes a funcionarios y entidades de apariencia gubernamental. Incluso algunos mensajes se originaron desde un buzón comprometido del Ministerio de Asuntos Exteriores de Omán en París (@fm.gov.om).

El contenido de los correos imitaba de manera consistente comunicaciones urgentes de cancillerías, transmitiendo autoridad y aprovechando la práctica común de habilitar macros. Estos elementos son característicos de una operación de espionaje planificada y diseñada para encubrir su origen.

Objetivos de la operación

Una vez habilitados los macros, estos desplegaban un ejecutable con capacidad de:

• Establecer persistencia en el sistema
• Conectarse a un servidor de comando y control (C2)
• Recopilar y exfiltrar información del sistema

Conexiones con campañas anteriores

La empresa de ciberseguridad ClearSky, que analizó aspectos de la campaña a finales de agosto, confirmó que los correos también se dirigieron a ministerios de relaciones exteriores.

La firma señaló que se usaron técnicas de ofuscación similares a las empleadas por actores iraníes en 2023, cuando atacaron a la organización Mojahedin-e-Khalq en Albania. ClearSky añadió que tiene “confianza moderada en que esta actividad está vinculada al mismo grupo de atacantes iraníes”.

Fuente: https://thehackernews.com/2025/09/iranian-hackers-exploit-100-embassy.html