Durante casi dos años, un sofisticado grupo de hackers patrocinados por el Estado iraní logró mantener acceso persistente a infraestructuras críticas en Oriente Medio mediante el abuso de vulnerabilidades en sistemas VPN y la implementación de malware avanzado. Este incidente, revelado por expertos en seguridad cibernética, destaca la creciente amenaza de ataques dirigidos que ponen en riesgo sectores vitales para la estabilidad regional y global. El ciclo de ataque duró desde mayo de 2023 hasta febrero de 2025, durante el cual los atacantes no solo accedieron a redes críticas, sino que también desplegaron herramientas maliciosas para espiar y preparar el terreno para posibles operaciones estratégicas futuras. La operación fue meticulosamente planeada y ejecutada, con una evolución constante de las tácticas para evadir detección y superar las contramedidas implementadas por las víctimas. El grupo responsable de esta intrusión está vinculado a Lemon Sandstorm, un actor estatal iraní conocido también por los alias Parisite, Pioneer Kitten y UNC757.
Este actor ha estado activo desde al menos 2017, atacando sectores como aeroespacial, petróleo y gas, agua y energía eléctrica en diversas regiones, incluyendo Estados Unidos, Europa, Australia y Medio Oriente. El uso de vulnerabilidades conocidas en soluciones de VPN de proveedores como Fortinet, Pulse Secure y Palo Alto Networks fue la puerta de entrada inicial que permitió a los atacantes infiltrarse en las redes objetivos. Lo que distingue esta campaña es la complejidad y persistencia con la que se llevó a cabo. Tras obtener acceso mediante credenciales robadas, los hackers desplegaron backdoors y web shells para asegurarse una presencia prolongada. Entre las herramientas empleadas se encuentran tres backdoors personalizados llamados Havoc, HanifNet y HXLibrary, así como variantes adicionales que fueron introducidas a lo largo del tiempo para consolidar el control sobre las redes infectadas.
Durante el primer año del ataque, el grupo se enfocó en establecer una base sólida de operaciones. Utilizaron acceso a sistemas SSL VPN para introducir sus implantes maliciosos en servidores públicos y mantener un canal abierto de comunicación con sus servidores de comando y control. Este acceso inicial fue crucial para comprender la estructura interna de la red y seleccionar los objetivos de mayor valor dentro de la infraestructura crítica. En el siguiente período, la amenaza se intensificó con la implantación de más web shells y un nuevo backdoor denominado NeoExpressRAT. Este malware mostró sofisticación al aprovechar plataformas populares como Discord para sus comunicaciones de seguimiento, lo que dificultaba la detección por herramientas de seguridad convencionales.
Además, el grupo utilizó herramientas legítimas como plink y Ngrok para mejorar el movimiento lateral y profundizar su infiltración en la infraestructura virtualizada del objetivo. La respuesta de las víctimas impulsó a los atacantes a adaptar rápidamente sus estrategias. Frente a los intentos de mitigación, lanzaron nuevos componentes maliciosos, incluyendo MeshCentral Agent y SystemBC, diversificando sus herramientas para mantener el acceso y continuar con actividades de espionaje y exfiltración de datos, principalmente correos electrónicos críticos que podrían contener información sensible y estratégica. Una particularidad destacable es el uso de herramientas de código abierto para funciones específicas. Havoc sirve como una plataforma de comando y control, mientras que MeshCentral es un software legítimo de administración remota que los hackers manipularon para sus fines maliciosos.
SystemBC, por su parte, es conocido por funcionar como precursor de ataques de ransomware, señalando una posible escalada futura hacia actividades destructivas o extorsivas. La campaña no solo incorporó malware personalizado, sino también técnicas avanzadas para robar credenciales, como la herramienta CredInterceptor, que extrae credenciales directamente de la memoria LSASS de Windows. Esto refleja un enfoque integral donde no solo se busca el control de sistemas, sino también la captura continua de información valiosa para facilitar movimientos dentro de la red y la evasión de defensas. Entre las evidencias que permiten asociar esta operación a Lemon Sandstorm están las infraestructuras de comando y control, ubicadas en dominios previamente vinculados a este grupo. Además, los análisis de Fortinet indican que, aunque el objetivo principal fue la red de Tecnología Operacional (OT), que es fundamental para la operación de infraestructuras físicas, no hay pruebas definitivas de que los atacantes lograran penetrar en el segmento más sensible de esta red.
El nivel de sofisticación también se percibe en la capacidad del grupo para usar múltiples proxies y componentes personalizados que les permitieron evadir segmentaciones de red y realizar movimientos laterales sin ser detectados. El ataque fue realizado en su mayoría con intervención manual, dado el patrón de errores y la continuidad en la gestión de sus operaciones, lo que sugiere un equipo especializado trabajando de forma coordinada. Un dato sorprendente es que, tras una investigación más profunda, se detectaron indicios de que la actividad maliciosa podría haberse iniciado desde 2021, ampliando significativamente el marco temporal de compromiso y provocando preocupaciones sobre posibles daños ocultos que podrían emerger en el futuro. En las últimas fases del ataque, se observó un cambio de táctica donde, tras haber sido expulsados del entorno, los atacantes optaron por explotar vulnerabilidades en sistemas biométricos ZKTeco BioTime y realizar campañas de spear-phishing dirigidas a empleados, buscando recuperar acceso mediante el robo de credenciales de Microsoft 365. Esta acción subraya la persistencia y capacidad adaptativa del adversario para persistir en el objetivo a pesar de los esfuerzos de mitigación.
![Indonesian tofu factories powered by plastic waste [video]](/images/2734908A-B523-40EA-BA89-7360D1500CD0)
