Con la escalada de tensiones entre Irán, Estados Unidos e Israel, las operaciones digitales también se han convertido en un instrumento estratégico dentro de la guerra híbrida, un modelo que combina acciones militares convencionales con campañas de ciberataques, espionaje, sabotaje tecnológico y manipulación informativa.
Los máximos expertos en ciberseguridad alertan de que Irán dispone de una red de actores digitales muy desarrollada.
Esta estructura incluye unidades vinculadas al Estado, colectivos hacktivistas que actúan alineados con los intereses de Teherán y, en algunos casos, grupos criminales que colaboran en determinadas operaciones.
Algunos de estos actores mantienen vínculos directos o indirectos con el Cuerpo de la Guardia Revolucionaria Islámica (CGRI), uno de los pilares del aparato militar iraní. Las campañas atribuidas a estas organizaciones abarcan desde espionaje digital hasta intrusiones en infraestructuras críticas y operaciones destinadas a obtener beneficios económicos.
Las investigaciones de diferentes agencias de ciberseguridad han identificado tres grupos particularmente relevantes dentro de este ecosistema de ciberataques.
Charming Kitten (APT35, Phosphorous)
Uno de los actores más conocidos vinculados a operaciones digitales iraníes es Charming Kitten, también identificado por los analistas como APT35 o Phosphorous. Este grupo ha sido señalado durante años como uno de los principales responsables de campañas de espionaje digital dirigidas contra instituciones occidentales.
Su principal herramienta de ataque es el phishing selectivo, una técnica que consiste en enviar mensajes cuidadosamente diseñados para engañar a objetivos específicos. Estas comunicaciones suelen suplantar identidades de investigadores, periodistas o responsables de organizaciones internacionales con el fin de obtener credenciales de acceso a cuentas corporativas o personales.
Las investigaciones en ciberseguridad han documentado campañas dirigidas contra entidades políticas, empresas tecnológicas, universidades y centros de investigación. Los expertos consideran que el objetivo principal de estas operaciones es recopilar información estratégica que pueda beneficiar a la política exterior iraní.
Una vez dentro de las redes comprometidas, los operadores de Charming Kitten pueden monitorizar comunicaciones, descargar documentos confidenciales o ampliar el acceso a otros sistemas internos. Esta capacidad de infiltración prolongada convierte a este grupo en una herramienta eficaz para el ciberespionaje a largo plazo.
APT33 (Elfin)
Otro actor relevante en el ecosistema digital iraní es APT33, conocido también como Elfin. A diferencia de otros grupos centrados principalmente en espionaje, este colectivo ha sido vinculado con operaciones más agresivas contra infraestructuras críticas.
APT33 ha dirigido campañas contra sectores como el energético, la aviación o la industria petroquímica. Estos sectores resultan especialmente atractivos desde el punto de vista estratégico, ya que cualquier interrupción puede tener consecuencias económicas y logísticas significativas.
El grupo utiliza múltiples técnicas de intrusión. Entre ellas destacan los correos electrónicos con archivos maliciosos, los ataques de pulverización de contraseñas contra cuentas con autenticación débil y la explotación de vulnerabilidades en software corporativo.
Algunos investigadores han detectado además el uso de vulnerabilidades de día cero, fallos de seguridad desconocidos por los fabricantes que permiten a los atacantes penetrar en sistemas antes de que existan actualizaciones de protección.
Una vez comprometidas las redes, APT33 despliega herramientas diseñadas para mantener el acceso a largo plazo y moverse lateralmente dentro de los sistemas. Este tipo de operaciones permite recopilar información sensible o preparar sabotajes digitales en infraestructuras industriales.
MuddyWater (APT37, Seedworm)
El tercer actor destacado es MuddyWater, también conocido en la comunidad de inteligencia como APT37 o Seedworm. Este grupo ha protagonizado numerosas campañas de intrusión dirigidas a organizaciones gubernamentales y empresas de múltiples sectores.
Sus operaciones se han detectado en regiones muy diversas, incluyendo Oriente Medio, Europa, Asia, África y Norteamérica. Entre sus objetivos habituales se encuentran instituciones públicas, empresas energéticas, compañías de telecomunicaciones y entidades financieras.
A diferencia de otros grupos que utilizan herramientas altamente especializadas, MuddyWater combina malware desarrollado a medida con herramientas de código abierto disponibles públicamente. Esta estrategia permite realizar intrusiones eficaces manteniendo un perfil relativamente discreto.
El grupo suele aprovechar vulnerabilidades conocidas en aplicaciones corporativas para acceder a las redes de las organizaciones. Una vez dentro, despliega software malicioso destinado a recopilar información, establecer mecanismos de persistencia y facilitar el movimiento lateral dentro de los sistemas comprometidos.
Los analistas de seguridad destacan que las campañas de MuddyWater suelen centrarse en la obtención de información estratégica, aunque en determinados casos también se han detectado actividades orientadas a preparar ataques disruptivos.
Además de estos actores vinculados directamente al ecosistema estatal iraní, también está la creciente actividad de grupos hacktivistas que actúan alineados con los intereses del país. Algunos de estos colectivos han dirigido ataques contra organizaciones occidentales tras episodios de tensión geopolítica.
Entre ellos destaca Cyber Av3engers, un grupo que ha centrado sus campañas en sistemas de control industrial conectados a internet. Sus operaciones suelen dirigirse a dispositivos ICS y plataformas SCADA, tecnologías utilizadas para gestionar procesos industriales y redes energéticas.
Estos colectivos suelen explotar configuraciones débiles, credenciales predeterminadas o vulnerabilidades conocidas en equipos industriales. Una estrategia que puede permitir el acceso a entornos operativos donde se controlan procesos físicos sensibles.
