Con la actual crisis iraní en su punto más álgido, la ciberactividad se ha convertido en un componente central del panorama de amenazas, junto con la presión militar y política.
El ecosistema iraní incluye múltiples clústeres alineados con entidades estatales, como el Cuerpo de la Guardia Revolucionaria Islámica y el Ministerio de Inteligencia y Seguridad, además de operadores que actúan de manera encubierta y grupos hacktivistas.
Este entramado sostiene una amplia gama de objetivos: espionaje para obtener inteligencia y afianzar presencia; acciones disruptivas y destructivas, incluidos ataques de denegación de servicio distribuido, pseudo ransomware y borrado de datos para generar costos; y operaciones de información que combinan incidentes técnicos o filtraciones con amplificación coordinada en línea.
Se prevé que esta actividad se intensifique y se expanda por Oriente Medio, Estados Unidos y otros países que Irán considera adversarios en el conflicto actual.
Entre los principales clústeres de actores vinculados a Irán que podrían tener relevancia en esta guerra se destacan aquellos que han desplegado tácticas, técnicas y procedimientos recientes contra objetivos en Oriente Medio y Estados Unidos.
Check Point Research analizó cómo se manifiestan estas prácticas en operaciones reales, cuáles son las señales de alerta temprana que deben vigilar los defensores y qué medidas de mitigación resultan prioritarias en este escenario.
Cotton Sandstorm
Cotton Sandstorm, también conocida como Emennet Pasargad o Aria Sepehr Ayandehsazan, y referida en algunos informes como MarnanBridge o Haywire Kitten, es un actor cibernético iraní afiliado al Cuerpo de la Guardia Revolucionaria Islámica.
Es reconocido por sus operaciones de influencia digital y por sus campañas de “reacción rápida” ante acontecimientos regionales.
Su estrategia combina acciones disruptivas clásicas —como desfiguración de sitios web, ataques de denegación de servicio, secuestro de correos electrónicos y cuentas, y robo de datos— con operaciones de información. Luego de la intrusión técnica, impulsa una amplificación del tipo “hackeo y filtración”, utilizando identidades falsas y técnicas de suplantación para moldear narrativas públicas.
En los últimos años, Cotton Sandstorm amplió su alcance más allá de Israel, apuntando a un espectro más amplio de víctimas, incluidas entidades en la región del Golfo.
Entre los episodios atribuidos se encuentra el acceso no autorizado a una empresa estadounidense de streaming de televisión por protocolo de Internet para difundir mensajes generados con inteligencia artificial sobre la guerra en Gaza, con impacto principal en los Emiratos Árabes Unidos.
También se registraron ataques reiterados contra organismos e infraestructuras del gobierno de Bahréin, acompañados de mensajes antimonárquicos en protesta por la normalización de relaciones con Israel.
En meses recientes, Check Point Research identificó un conjunto consistente de herramientas de malware asociadas con este actor.
Entre ellas se destaca WezRat, un ladrón de información modular personalizado que suele distribuirse mediante campañas de phishing selectivo, disfrazadas de actualizaciones urgentes de software.
En algunos casos, las intrusiones fueron seguidas por la implementación del ransomware WhiteLock, dirigido específicamente contra objetivos israelíes, aunque la posibilidad de extender estas acciones a otros países permanece abierta.
Un día después del inicio del conflicto, Cotton Sandstorm reactivó su antigua identidad cibernética, Altoufan Team, previamente enfocada en ataques contra Bahréin y que había permanecido inactiva durante más de un año.
Bajo ese nombre, reivindicó nuevos supuestos objetivos en ese país. Este movimiento evidencia la naturaleza reactiva del grupo y refuerza la probabilidad de que continúe ejecutando intrusiones en distintos puntos de Medio Oriente en el contexto del actual conflicto.
Seguí todas las noticias de Agencia NOVA en Google News
