Puerta trasera Dindoor
Una investigación de inteligencia de amenazas ha descubierto evidencia de una operación cibernética alineada con el estado iraní que se infiltró con éxito en las redes de varias organizaciones en Norteamérica. Entre las entidades afectadas se incluyen bancos, aeropuertos, organizaciones sin fines de lucro y la sucursal israelí de una empresa de software que opera en los sectores de defensa y aeroespacial.
La campaña se ha atribuido a MuddyWater, también conocido como Seedworm, un grupo de amenazas asociado con el Ministerio de Inteligencia y Seguridad de Irán (MOIS). Los investigadores estiman que la operación comenzó a principios de febrero de 2026. La actividad de la red vinculada a la campaña surgió poco después de los ataques militares de Estados Unidos e Israel contra Irán, lo que sugiere un posible detonante geopolítico tras la ciberactividad.
Parece que se ha prestado especial atención a la división israelí del proveedor de software en cuestión. Esta empresa suministra soluciones a múltiples sectores, como el de defensa y el aeroespacial, lo que la convierte en un objetivo estratégico valioso para la recopilación de inteligencia y la posible disrupción.
Tabla de contenido
Dindoor: Una puerta trasera recientemente identificada que aprovecha Deno
Los analistas de seguridad que examinaron las intrusiones identificaron la implementación de una puerta trasera no documentada previamente llamada Dindoor. El malware utiliza el entorno de ejecución de JavaScript de Deno como parte de su entorno de ejecución, una técnica relativamente poco común que podría ayudarle a evadir la detección en los sistemas de monitorización de seguridad tradicionales.
Los ataques que involucraron al proveedor de software, una institución bancaria estadounidense y una organización canadiense sin fines de lucro parecen haber servido como puntos de entrada para instalar esta puerta trasera.
También se identificaron pruebas de un intento de exfiltración de datos. Los investigadores observaron el uso de la utilidad Rclone para transferir información del entorno de la empresa de software comprometida a un depósito de almacenamiento en la nube alojado en Wasabi. Al momento del análisis, no estaba claro si el intento de exfiltración de datos tuvo éxito.
La puerta trasera Fakeset aparece en otras redes comprometidas
Se detectó un componente de malware independiente, conocido como Fakeset, escrito en Python, en las redes de un aeropuerto estadounidense y otra organización sin fines de lucro. Esta puerta trasera se obtuvo de la infraestructura asociada a Backblaze, un proveedor estadounidense de almacenamiento y copias de seguridad en la nube.
La carga maliciosa fue firmada digitalmente utilizando un certificado que previamente había sido vinculado a otras dos familias de malware, Stagecomp y Darkcomp, ambas históricamente asociadas con las operaciones de MuddyWater.
Los investigadores de amenazas han identificado muestras de malware con las siguientes firmas vinculadas al ecosistema MuddyWater:
- Troyano:Python/MuddyWater.DB!MTB
- Puerta trasera.Python.MuddyWater.a
Aunque Stagecomp y Darkcomp no fueron descubiertos en las redes comprometidas examinadas en esta investigación, la reutilización del mismo certificado digital sugiere fuertemente la participación del mismo actor de amenazas, lo que refuerza la atribución a Seedworm.
Expansión de las capacidades cibernéticas iraníes y tácticas de ingeniería social
Los actores iraníes de ciberamenazas han mejorado significativamente sus capacidades operativas en los últimos años. Su desarrollo y herramientas de malware se han vuelto más sofisticados, lo que permite una persistencia más sigilosa y un movimiento lateral más efectivo dentro de las redes de las víctimas.
Igualmente notable es la expansión de sus estrategias de ataque centradas en el ser humano. Los operadores iraníes han demostrado métodos de ingeniería social cada vez más avanzados, incluyendo campañas de phishing selectivo y operaciones de trampas a largo plazo diseñadas para generar confianza con individuos de interés. Estas tácticas se utilizan con frecuencia para obtener acceso a cuentas o extraer información confidencial.
Vigilancia mediante cámaras vulnerables
Investigaciones paralelas han revelado que otros grupos de amenazas vinculados a Irán están investigando activamente dispositivos de vigilancia conectados a internet. Uno de estos actores, Agrius, también conocido con los alias Agonizing Serpens, Marshtreader y Pink Sandstorm, ha sido observado escaneando infraestructuras de videovigilancia vulnerables.
Los investigadores documentaron intentos de explotación de cámaras y sistemas de videoportero de Hikvision a través de vulnerabilidades conocidas. Estas actividades se han intensificado en medio del conflicto en Oriente Medio, especialmente en Israel y varios países del Golfo.
La campaña se ha centrado en explotar vulnerabilidades que afectan a los equipos de vigilancia de Dahua y Hikvision, entre las que se incluyen:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Los analistas de seguridad creen que estas intrusiones podrían facilitar la recopilación de inteligencia militar, incluyendo la vigilancia operativa y la evaluación de daños en combate (BDA) en operaciones con misiles. En algunos casos, las cámaras pueden invadir el sistema antes del lanzamiento de misiles para facilitar la localización de objetivos o el seguimiento de los resultados.
La actividad cibernética como precursora de las operaciones cinéticas
El ataque coordinado a la infraestructura de vigilancia coincide con las evaluaciones tradicionales de que la doctrina cibernética iraní integra el reconocimiento digital en la planificación militar general. Las cámaras comprometidas pueden proporcionar inteligencia visual en tiempo real y conocimiento de la situación.
En consecuencia, monitorear la actividad de escaneo y los intentos de explotación contra la infraestructura de cámaras vinculada a activos cibernéticos iraníes conocidos puede servir como una señal de alerta temprana para posibles operaciones cinéticas posteriores.
Aumento de los riesgos de represalias cibernéticas
La escalada del conflicto entre Estados Unidos, Israel e Irán ha aumentado el riesgo de ciberrepresalias. En respuesta al creciente panorama de amenazas, el Centro Canadiense para la Ciberseguridad (CCCS) ha emitido una advertencia sobre la probabilidad de que Irán utilice sus capacidades cibernéticas contra infraestructuras críticas y realice operaciones de influencia o información para promover intereses estratégicos.
Estos avances ponen de relieve el papel cada vez más importante del ciberespacio como campo de batalla paralelo durante los conflictos geopolíticos, donde el espionaje, la perturbación y la recopilación de inteligencia acompañan cada vez más a las acciones militares tradicionales.
