El Buró Federal de Investigaciones has warned afirma que actores maliciosos vinculados a Irán están utilizando la plataforma de mensajería Telegram como parte de campañas de malware dirigidas a individuos y organizaciones. La alerta identifica actividades asociadas a grupos, incluyendo Handala, un grupo hacktivista pro-Palestina, y Homeland Justice, que las autoridades estadounidenses habían vinculado previamente con el Cuerpo de la Guardia Revolucionaria Islámica de Irán.
Según el FBI, los atacantes están utilizando Telegram como parte de su infraestructura de mando y control. Esto les permite comunicarse con sistemas comprometidos, emitir instrucciones y recuperar datos robados sin depender de servidores tradicionales. Los investigadores dijeron que este enfoque puede dificultar la detección porque utiliza un servicio de mensajería ampliamente disponible en lugar de una infraestructura maliciosa dedicada.
Las campañas se basan en técnicas de ingeniería social para entregar malware. Los objetivos reciben archivos o enlaces que parecen ser software o documentos legítimos. Una vez abiertos, estos archivos instalan programas maliciosos en dispositivos Windows. El malware está diseñado para recopilar información de sistemas infectados, incluyendo archivos, capturas de pantalla y datos del sistema, que luego pueden ser transmitidos de vuelta a los atacantes.
El FBI afirmó que el malware actúa en varias fases. Las cargas útiles iniciales establecen el acceso al sistema, mientras que los componentes posteriores se conectan a canales basados en Telegram o a bots para permitir la comunicación continua. Esta configuración permite a los atacantes mantener la persistencia y seguir interactuando con el dispositivo comprometido a lo largo del tiempo.
Las autoridades señalaron que la actividad ha tenido como objetivo a una variedad de personas, incluidos periodistas, funcionarios gubernamentales, figuras políticas y otros. En algunos casos, las campañas se han vinculado a esfuerzos para recopilar inteligencia u obtener información que luego podría ser divulgada públicamente.
La advertencia sigue a recientes acciones policiales contra infraestructuras vinculadas a los mismos grupos, incluyendo la incautación de sitios web utilizados para distribuir datos robados. El FBI afirmó que el aviso tiene como objetivo proporcionar detalles técnicos que las organizaciones puedan utilizar para identificar y mitigar amenazas similares.
Los funcionarios recomendaron que las organizaciones monitorizaran el tráfico de red para detectar conexiones inusuales a plataformas de mensajería y aseguraran que los sistemas estén actualizados y protegidos contra vulnerabilidades conocidas. La investigación sobre la actividad sigue en curso.