La operación SpearSpecter, identificada en septiembre de 2025 por la Israel National Digital Agency (INDA), consiste en una campaña activa de ciberespionaje ejecutada por el actor estatal iraní APT42. El objetivo es comprometer a individuos y organizaciones vinculadas a intereses del Islamic Revolutionary Guard Corps (IRGC).
Objetivos Dirigidos
- Altos funcionarios de defensa
- Funcionarios gubernamentales
- Profesionales de tecnología y ciberseguridad
- Familiares directos de los objetivos principales
Métodos de Ingeniería Social
APT42 utiliza técnicas avanzadas para crear confianza antes del ataque:
- Invitaciones falsas a conferencias prestigiosas
- Coordinación ficticia de reuniones importantes
- Suplantación de contactos reales por WhatsApp y correo
- Interacciones prolongadas durante días o semanas
Cadena de Ataque
- Contacto mediante ingeniería social personalizada
- Envío de enlace malicioso
- Redirección a un archivo LNK disfrazado de PDF usando *search-ms*
- Descarga de scripts y carga de la puerta trasera TAMECAT
Malware TAMECAT
Capacidades:
- Exfiltración de información
- Robo de credenciales y datos de navegadores
- Captura de buzones de Outlook
- Screenshots recurrentes
- Reconocimiento del sistema
Canales C2:
- HTTPS
- Discord
- Telegram
Técnicas de Evasión
- Ofuscación
- Cifrado de comunicaciones
- Uso de LOLBins
- Ejecución en memoria
- Infraestructura en servicios legítimos como Cloudflare Workers
Infraestructura
SpearSpecter utiliza una arquitectura híbrida basada en servicios Cloudflare Workers junto con infraestructura controlada por el actor, diseñada para espionaje prolongado y evasión.
Soluciones, prevenciones y mitigaciones ofrecidas por Sophos
Las soluciones de Sophos ofrecen múltiples capas de defensa frente a amenazas de este tipo, integrando protección tanto en endpoints como en redes corporativas:
- Sophos Intercept X for Mobile: Detecta comportamientos anómalos y detiene intentos de explotación de vulnerabilidades del sistema, incluso las de tipo zero-click.
- Sophos Mobile Threat Defense (MTD): Supervisa aplicaciones instaladas, detecta accesos no autorizados y bloquea descargas maliciosas.
- Sophos XDR (Extended Detection and Response): Proporciona visibilidad unificada y correlación de eventos entre endpoints Android, servidores y red, identificando rápidamente campañas activas.
- Sophos Firewall: Inspecciona tráfico saliente y bloquea conexiones sospechosas asociadas a exploits o dominios maliciosos.
- Buenas prácticas recomendadas:
- Mantener los dispositivos actualizados con el parche 2025-11-01 o superior.
- Habilitar la opción de actualizaciones automáticas.
- Evitar la instalación de aplicaciones fuera de Google Play.
- Integrar soluciones MDM/MDR que permitan una gestión de seguridad centralizada.
