San José, 27 may (elmundo.cr) – Palo Alto Networks publicó un nuevo informe sobre las campañas de ciberespionaje de un grupo APT iraní dirigidas contra EE. UU., Israel, los Emiratos Árabes Unidos y otros países, en medio de la escalada del conflicto regional de 2026. El actor malicioso está utilizando nuevas y sofisticadas tácticas y se dirige a los empleados mediante señuelos de phishing relacionados con la contratación.
La Unidad 42 identifica a este actor malicioso como Screening Serpens (también conocido como Smoke Sandstorm, Iranian Dream Job, UNC1549). Este grupo ha mantenido campañas de espionaje a un ritmo elevado incluso mientras Internet y los centros de mando de la región se encontraban paralizados.
Detalles adicionales:
-
Siguiendo el manual de estrategias de Corea del Norte: Screening Serpens está utilizando «cebos de reclutamiento» muy sofisticados para atacar a ingenieros de software. El grupo se hacía pasar por marcas de renombre y plataformas de contratación para ganarse la confianza de las víctimas y engañarlas para que iniciaran su propia cadena de infección.
-
Nueva táctica de evasión, secuestro de AppDomain: se ha identificado un cambio en la forma en que ejecutan el malware. Al manipular la fase de inicialización de las aplicaciones .NET, el actor puede eludir de forma preventiva la telemetría de seguridad tradicional y ejecutar cargas útiles antes de que muchas defensas estándar de los endpoints se hayan inicializado por completo. Esta táctica permite a los atacantes establecer persistencia y mantener el control operativo sobre la exfiltración de datos.
A continuación, encontrarán una cita de Elad Koren, vicepresidente de Gestión de Productos de Palo Alto Networks, sobre cómo las organizaciones pueden protegerse contra los tipos de ataques descritos en este estudio.
Elad Koren, vicepresidente de Gestión de Productos de Palo Alto Networks: «A medida que grupos APT como Screening Serpens siguen evolucionando y aprovechando tecnologías punteras de inteligencia artificial, las soluciones tradicionales de seguridad para endpoints ya no son suficientes. Las organizaciones modernas necesitan ahora posturas defensivas que evolucionen hacia estrategias multicapa basadas en el comportamiento, que vayan más allá de las simples firmas de archivos. Al centrarse en identificar comportamientos intrínsecamente anómalos en el momento de la instalación, en este caso, el secuestro de AppDomain o la desactivación de la telemetría del sistema, los defensores pueden interceptar eficazmente cadenas de ataques sofisticadas antes de que se afiancen. La supervisión de la lógica y el comportamiento de las aplicaciones es ahora fundamental para la prevención proactiva de amenazas».
