Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Porta del darrere Dindoor

Porta del darrere Dindoor

El Mezo el Programari maliciós, Amenaça persistent avançada (APT), Portes del darrere
Traduir a:

La investigació d'intel·ligència d'amenaces ha descobert proves d'una operació cibernètica alineada amb l'estat iranià que es va integrar amb èxit a les xarxes de diverses organitzacions de tot Amèrica del Nord. Les entitats afectades inclouen bancs, aeroports, organitzacions sense ànim de lucre i la sucursal israeliana d'una empresa de programari que serveix als sectors de defensa i aeroespacial.

La campanya s'ha atribuït a MuddyWater, també conegut com a Seedworm, un grup d'amenaces associat al Ministeri d'Intel·ligència i Seguretat (MOIS) de l'Iran. Els investigadors avaluen que l'operació va començar a principis de febrer de 2026. L'activitat de la xarxa vinculada a la campanya va sorgir poc després dels atacs militars duts a terme pels Estats Units i Israel contra l'Iran, cosa que suggereix un possible detonant geopolític darrere de l'activitat cibernètica.

Sembla que s'ha prestat especial atenció a la divisió israeliana del proveïdor de programari objectiu. L'empresa subministra solucions a múltiples indústries, com ara la defensa i l'aeroespacial, cosa que la converteix en un objectiu estratègicament valuós per a la recopilació d'intel·ligència i les possibles disrupcions.

Dindoor: una porta del darrere recentment identificada que aprofita Deno

Els analistes de seguretat que van examinar les intrusions van identificar el desplegament d'una porta del darrere prèviament indocumentada anomenada Dindoor. El programari maliciós utilitza el temps d'execució Deno JavaScript com a part del seu entorn d'execució, una tècnica relativament poc comuna que pot ajudar el programari maliciós a evadir la detecció en els sistemes tradicionals de monitorització de seguretat.

Els atacs que van involucrar el proveïdor de programari, una institució bancària dels EUA i una organització sense ànim de lucre canadenca semblen haver servit com a punts d'entrada per instal·lar aquesta porta del darrere.

També es van identificar proves d'intent d'exfiltració de dades. Els investigadors van observar l'ús de la utilitat Rclone per transferir informació de l'entorn de l'empresa de programari compromesa a un dipòsit d'emmagatzematge al núvol allotjat a Wasabi. En el moment de l'anàlisi, no estava clar si l'intent d'exfiltració de dades va tenir èxit.

La porta del darrere falsa apareix en altres xarxes compromeses

Un component de programari maliciós separat conegut com a Fakeset, escrit en Python, es va detectar dins de les xarxes d'un aeroport dels EUA i d'una altra organització sense ànim de lucre. Aquesta porta del darrere es va recuperar de la infraestructura associada amb Backblaze, un proveïdor d'emmagatzematge al núvol i còpies de seguretat amb seu als EUA.

La càrrega útil maliciosa es va signar digitalment mitjançant un certificat que anteriorment s'havia vinculat a dues altres famílies de programari maliciós, Stagecomp i Darkcomp, ambdues històricament associades amb les operacions de MuddyWater.

Els investigadors d'amenaces han identificat mostres de programari maliciós amb les signatures següents vinculades a l'ecosistema MuddyWater:

  • Troià:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

Tot i que Stagecomp i Darkcomp no van ser descoberts a les xarxes compromeses examinades en aquesta investigació, la reutilització del mateix certificat digital suggereix fermament la implicació del mateix actor d'amenaces, cosa que reforça l'atribució a Seedworm.

Expansió de les capacitats cibernètiques i les tàctiques d’enginyeria social iranianes

Els actors cibernètics iranians han millorat significativament les seves capacitats operatives en els darrers anys. El desenvolupament i les eines de programari maliciós s'han tornat més sofisticats, cosa que permet una persistència més discreta i un moviment lateral més eficaç dins de les xarxes de les víctimes.

Igualment notable és l'expansió de les seves estratègies d'atac centrades en els humans. Els operadors iranians han demostrat mètodes d'enginyeria social cada cop més avançats, incloent-hi campanyes de spear-phishing altament dirigides i operacions de "honeytramp" a llarg termini dissenyades per generar confiança amb individus d'interès. Aquestes tàctiques s'utilitzen amb freqüència per obtenir accés a comptes o extreure informació sensible.

Vigilància a través de càmeres vulnerables

Investigacions paral·leles han revelat que altres grups d'amenaces vinculats a l'Iran estan investigant activament dispositius de vigilància connectats a Internet. Un d'aquests actors, Agrius, també conegut pels àlies Agonizing Serpens, Marshtreader i Pink Sandstorm, ha estat observat escanejant infraestructures de videovigilància vulnerables.

Els investigadors han documentat intents d'explotació dirigits a càmeres i sistemes de videointercomunicació de Hikvision a través de vulnerabilitats conegudes. Aquestes activitats s'han intensificat enmig del conflicte actual a l'Orient Mitjà, especialment a Israel i diversos estats del Golf.

La campanya s'ha centrat en l'explotació de vulnerabilitats que afecten els equips de vigilància de Dahua i Hikvision, incloent-hi:

  • CVE-2017-7921
  • CVE-2023-6895
  • CVE-2021-36260
  • CVE-2025-34067
  • CVE-2021-33044

Els analistes de seguretat creuen que aquests compromisos poden donar suport a la recopilació d'intel·ligència militar, inclosa la vigilància operativa i l'avaluació de danys de batalla (BDA) relacionada amb les operacions amb míssils. En alguns casos, es poden produir intrusions de càmeres abans dels llançaments de míssils per ajudar a la selecció o al seguiment dels resultats.

L’activitat cibernètica com a precursor de les operacions cinètiques

La focalització coordinada de la infraestructura de vigilància s'alinea amb les avaluacions de llarga durada que la doctrina cibernètica iraniana integra el reconeixement digital en una planificació militar més àmplia. Les càmeres compromeses poden proporcionar intel·ligència visual en temps real i consciència situacional.

En conseqüència, el seguiment de l'activitat d'escaneig i els intents d'explotació contra la infraestructura de càmeres vinculada a actius cibernètics iranians coneguts pot servir com a senyal d'alerta primerenca per a possibles operacions cinètiques posteriors.

Riscos creixents de represàlies cibernètiques

L'escalada del conflicte entre els Estats Units, Israel i l'Iran ha augmentat el risc de represàlies cibernètiques. En resposta al creixent panorama d'amenaces, el Centre Canadenc per a la Ciberseguretat (CCCS) ha emès un avís que és probable que l'Iran aprofiti les seves capacitats cibernètiques contra infraestructures crítiques i dugui a terme operacions d'influència o informació per promoure interessos estratègics.

Aquests desenvolupaments destaquen el paper creixent del ciberespai com a camp de batalla paral·lel durant els conflictes geopolítics, on l'espionatge, la disrupció i la recopilació d'intel·ligència acompanyen cada cop més les accions militars tradicionals.

Tendència

S'ha compartit un document amb tu en una estafa de...

Phishing, Correu brossa
Els correus electrònics inesperats que insten a una acció immediata sempre s'han de tractar amb precaució. Els ciberdelinqüents sovint disfressen els missatges maliciosos de notificacions legítimes per enganyar els destinataris perquè revelin informació confidencial. Mantenir-se alerta a l'hora de revisar els correus electrònics, especialment els que sol·liciten credencials d'inici de sessió,...

Més vist

Carregant...