Investigadores en ciberseguridad afirman que un grupo de hackers vinculado al Estado iraní conocido como Seedworm ha accedido a varias organizaciones vinculadas a infraestructuras críticas en Estados Unidos e Israel, lo que genera preocupación por posibles operaciones cibernéticas dirigidas a industrias clave.
Según los hallazgos published by Symantec and Carbon Black de inteligencia de amenazas, el grupo ha mantenido acceso encubierto a múltiples redes desde principios de febrero. Seedworm, que la Agencia de Seguridad de Infraestructura e Ciberseguridad de EE. UU. describe como vinculada al Ministerio de Inteligencia y Seguridad de Irán, es conocida por campañas de ciberespionaje dirigidas a gobiernos e industrias estratégicas.
Los investigadores dijeron que los hackers utilizaron un malware de puerta trasera previamente no documentado llamado Dindoor para acceder sin autorización a los sistemas de las víctimas. La herramienta permite a los atacantes mantener un control persistente sobre redes comprometidas mientras sigue siendo difícil de detectar. Una vez instalada, la puerta trasera permite la ejecución remota de comandos y la monitorización continua de los sistemas internos.
La investigación identificó varias organizaciones afectadas por la intrusión. Entre ellas se encuentran un banco estadounidense, una empresa tecnológica con operaciones en Israel, un aeropuerto y varias organizaciones no gubernamentales ubicadas en Estados Unidos y Canadá. Según se informa, los equipos de seguridad de esas organizaciones detectaron actividad sospechosa en la red vinculada a la brecha.
Los investigadores señalaron que los ataques aparecieron poco después de los ataques militares de Estados Unidos e Israel contra objetivos en Irán, que comenzaron el 28 de febrero. Aunque el informe no vincula directamente las intrusiones con esos hechos, los analistas señalaron que el momento pone de manifiesto cómo las tensiones geopolíticas pueden coincidir con un aumento de la actividad cibernética de grupos alineados con los Estados.
Seedworm lleva varios años activo y también es conocido por los nombres MuddyWater y Mango Sandstorm en varios sistemas de seguimiento de inteligencia de amenazas. Históricamente, el grupo ha atacado organizaciones en Oriente Medio, incluyendo agencias gubernamentales, proveedores de telecomunicaciones y operadores regionales de infraestructuras.
Los últimos hallazgos sugieren que el grupo ha ampliado su enfoque más allá de Oriente Medio. Los investigadores señalaron que la actividad reciente muestra un patrón de segmentación más amplio que incluye organizaciones en Norteamérica, Europa, África y Asia. Sectores críticos como la banca, la aviación y la tecnología parecen ser de especial interés.
Los analistas de seguridad afirman que la presencia de atacantes dentro de las redes no indica necesariamente que las operaciones destructivas sean inminentes. Sin embargo, el acceso a largo plazo puede permitir a los actores amenazantes recopilar inteligencia, cartografiar la infraestructura de la red y prepararse para posibles operaciones de seguimiento.
El descubrimiento se produce mientras agencias de ciberseguridad e investigadores privados advierten que la actividad cibernética vinculada a conflictos geopolíticos podría aumentar. Los analistas que siguen a actores amenazantes alineados con Irán afirman que los esfuerzos de reconocimiento e infiltración suelen ocurrir antes de operaciones disruptivas que apuntan a infraestructuras o sistemas gubernamentales.
Se aconseja a las organizaciones que operan en sectores sensibles revisar las prácticas de monitorización de red e investigar actividades de autenticación inusuales que puedan indicar acceso persistente. La investigación sobre las intrusiones de Seedworm sigue en curso mientras los investigadores continúan analizando el malware y el alcance de las redes afectadas.