Ir al contenido principal
Artículo
1 de junio de 202614 min de lectura
Threat IntelligenceInvestigationsDark WebIranOptiv

Identificación de actores de amenaza iraníes dirigidos contra infraestructura de EE. UU.

Ícono de perfil del equipo de IntraceIntrace Team

Cuando Intrace detectó el nombre de host del equipo de escritorio de un consultor de Optiv en datos de la dark web de Water Black, la investigación reveló infraestructura vinculada a Irán, señalización mediante dominios aparcados y un compromiso de múltiples etapas dirigido contra un profesional de seguridad de alto valor.

Racks de servidores en un centro de datos con luces indicadoras azules y rojas

En julio, usando Intrace, un empleado de Optiv descubrió que su estación de trabajo personal aparecía en datos de la dark web asociados a un grupo de malware denominado «Water Black». El nombre de host de su equipo de escritorio había sido observado en fuentes de datos clandestinas que Intrace monitorea, lo que sugería que la máquina no solo estaba comprometida, sino que además había sido etiquetada como un objetivo de alto valor. Esta designación era coherente con su rol: previamente había liderado el trabajo de respuesta a incidentes en un caso importante de ransomware, lo que lo convertía en un objetivo atractivo para actores de amenaza interesados en represalias o en inteligencia sobre técnicas defensivas.

Descubrimiento en la dark web y exposición del nombre de host

La señal inicial de la investigación fue simple pero seria: el monitoreo de la dark web de Intrace detectó el nombre de host del equipo de escritorio del consultor en datos vinculados a Water Black.

Un nombre de host es la etiqueta legible por humanos de una máquina en una red (por ejemplo, JOHN-DESKTOP o CORP-LAPTOP-01). Ver un nombre de host en material de actores de amenaza suele significar que los atacantes han logrado al menos cierto nivel de acceso a ese dispositivo o a su entorno. En lugar de ver únicamente direcciones IP genéricas o referencias anonimizadas a víctimas, la aparición del nombre de host de un equipo de escritorio específico es un fuerte indicador de que el propio dispositivo formó parte de una campaña, y no de un simple impacto aleatorio de un escáner de internet.

Vínculo de infraestructura

Durante el triaje inicial, Intrace correlacionó la referencia a Water Black con infraestructura expuesta a internet. El equipo identificó un único host en internet con el nombre de host waterblack, alojado en un centro de datos de Wyoming propiedad de un proveedor controlado por intereses iraníes. En ese punto:

  • La empresa de alojamiento era RouterHosting, LLC, que posteriormente cambió su marca a Cloudsy.
  • Este mismo proveedor había sido citado en reportes públicos como soporte de múltiples grupos de hackers vinculados a gobiernos, lo que aumentaba la probabilidad de que no se tratara de infraestructura aleatoria de malware genérico, sino de parte de un conjunto de operaciones más organizado.

Esto importa porque la atribución de infraestructura es una parte central del análisis de intrusiones. Cuando un proveedor o centro de datos tiene una asociación previa con grupos alineados con Estados, y se observan allí nuevos dominios o servidores sospechosos, aumenta la confianza en que se está frente a un actor de amenaza avanzado, posiblemente vinculado a un gobierno, y no ante delincuentes puramente oportunistas.

DNS y patrón de tráfico

En la propia estación de trabajo, Intrace examinó las conexiones salientes y los patrones de resolución DNS. Durante varias semanas, la máquina se había estado conectando con frecuencia a dominios recién registrados y «aparcados». Muchos de esos dominios resolvían a infraestructura del mismo proveedor de alojamiento vinculado a propiedad iraní.

Un dominio aparcado es un nombre de dominio registrado pero que no se usa activamente para un sitio web real. Normalmente muestra una página genérica de espera o anuncios. A los atacantes les gusta usar dominios aparcados o casi vacíos porque:

  • Son baratos y fáciles de registrar en masa.
  • Parecen mayormente inofensivos ante una inspección superficial.
  • Pueden redirigirse rápidamente a nuevos servidores para evadir bloqueos.

El patrón de conexión repetida sugería un comportamiento de señalización (beaconing): el host comprometido contactaba con regularidad la infraestructura controlada por los atacantes en busca de instrucciones o actualizaciones. Este es un diseño común en el malware de comando y control (C2), donde la máquina infectada se reporta periódicamente ante un servidor remoto para enviar su estado y recibir órdenes.

Como medida defensiva inmediata, el consultor bloqueó el acceso a los dominios aparcados a nivel de red. Esto es interesante desde una perspectiva analítica, porque cortar el canal principal de C2 suele obligar al malware a revelar mecanismos de respaldo, errores de configuración o comportamientos de fallo, que es exactamente lo que ocurrió a continuación.

Bloqueo de «MicrosoftSecurityApp.exe»

A los pocos días de bloquear los dominios aparcados, un proceso llamado MicrosoftSecurityApp.exe sufrió un bloqueo en la estación de trabajo.

Este nombre de binario es sospechoso por varias razones:

  • Imita un componente de seguridad de Microsoft plausible sin corresponder a ningún producto conocido y documentado.
  • El malware suele usar nombres de archivo falsos o engañosos para camuflarse entre los procesos legítimos del sistema (por ejemplo, añadiendo «Microsoft», «Security», «Update» o «Service» al nombre).

El bloqueo justo después de que se cortaran las conexiones salientes sugiere que este proceso era, o bien el agente central del malware, que intentaba sin éxito alcanzar sus dominios de C2, o bien un cargador o proceso vigilante que dependía de una comunicación saliente exitosa y falló cuando esa comunicación se rompió. Desde el punto de vista analítico, este es un ejemplo clásico de comportamiento bajo estrés: una vez bloqueado el C2, el malware avanzado puede fallar, reiniciarse, cambiar a canales de respaldo o intentar mecanismos de persistencia local de forma más agresiva.

Indicios de persistencia local

Tras lidiar con el fallo de MicrosoftSecurityApp.exe, la estación de trabajo intentó iniciar Game Bar, un componente integrado de Windows que se usa típicamente para superposiciones de juegos y captura de pantalla. El consultor había desactivado previamente Game Bar debido a comportamientos sospechosos, por lo que este intento de reactivación resultó notable.

En el Registro de Windows, Game Bar aparecía referenciado bajo entradas que comenzaban con AppX. Otras entradas AppX apuntaban hacia FTP y SSH.

AppX es el formato de empaquetado de Microsoft para las aplicaciones modernas de la Windows Store. El malware puede en ocasiones abusar de los mecanismos de contenedores de aplicaciones, las tareas programadas o los manifiestos AppX para lograr persistencia. FTP (protocolo de transferencia de archivos) y SSH (Secure Shell) son protocolos estándar: FTP se usa para transferencias de archivos, a menudo en texto claro, y SSH se usa para inicios de sesión remotos cifrados y tunelización.

Ver entradas AppX que apuntan a FTP y SSH resulta extraño en una estación de trabajo personal que no debería actuar como servidor. Sugiere que el malware pudo haber registrado entidades con apariencia de aplicación o tareas programadas que interactúan con endpoints remotos de FTP/SSH, o haber configurado canales alternativos para la exfiltración de datos o la recepción de comandos, separados del C2 por HTTP/HTTPS de los dominios aparcados.

El intento de reactivar o desencadenar Game Bar puede indicar un abuso de sus capacidades de superposición y captura para la grabación de pantalla o el espionaje del usuario, o el uso de un componente legítimo de Windows como parte de una estrategia de «living off the land» para reducir el uso de binarios obviamente maliciosos.

Artefacto de red: TCP 22 y un vínculo con «GhostContainer»

Durante este período, el consultor observó una conexión TCP en el puerto 22 hacia la dirección 52.98.240.82.

El puerto TCP 22 se asocia casi universalmente con SSH. La IP en cuestión está vinculada a infraestructura legítima (por ejemplo, proveedores de nube o SaaS), pero discusiones en línea la habían asociado con algo llamado «GhostContainer». GhostContainer es una puerta trasera dirigida contra servidores Microsoft Exchange, documentada por investigadores de seguridad. Proporciona a los atacantes acceso remoto persistente a entornos Exchange, incluida la capacidad de ejecutar comandos y moverse lateralmente.

Si bien la máquina del consultor no era un servidor Exchange, el hecho de que hubiera un comportamiento de tipo SSH en el puerto TCP 22 hacia una dirección vinculada a los reportes sobre GhostContainer, y de que el host hubiera estado previamente enviando señales a dominios sospechosos ligados a infraestructura estatal, sugiere que la estación de trabajo pudo haber formado parte de un conjunto de herramientas más amplio usado por los mismos actores que despliegan GhostContainer en otros lugares, o haber sido usada como punto de preparación o nodo de observación para monitorear o gestionar operaciones del lado de Exchange desde un endpoint de confianza.

Esto encaja con el patrón de un compromiso de objetivo de alto valor: más que simplemente robar archivos, los atacantes potencialmente querían una máquina de confianza en el entorno que pudieran usar para pivotar, observar las acciones de respuesta a incidentes o mantener el acceso incluso mientras los sistemas corporativos se iban reforzando.

Intento de instalación de un certificado raíz falso

El consultor también recordó un intento de instalar una autoridad de certificación (CA) raíz falsa.

Este es un detalle crucial. Un certificado de CA raíz es uno de los anclajes que los sistemas operativos y navegadores usan para decidir si una conexión cifrada (por ejemplo, HTTPS) es de confianza. Si un atacante logra instalar su propio certificado raíz malicioso en un sistema, puede:

  • Interceptar y descifrar tráfico TLS que de otro modo sería seguro (por ejemplo, correo web, tableros, portales de administración).
  • Presentar certificados falsos para dominios arbitrarios (por ejemplo, outlook.com, vpn.company.com) y hacer que el sistema comprometido los considere válidos.

En la práctica, esto permitiría a los atacantes ejecutar ataques de intermediario (MITM) contra las conexiones de la víctima sin activar advertencias de certificado, y leer o alterar comunicaciones sensibles, incluidas cadenas de correo de respuesta a incidentes, sistemas de tickets y otros intercambios confidenciales. El intento de instalación de una CA raíz es un fuerte indicador de la intención de persistir y vigilar, no de una simple actividad rápida de «golpe y fuga».

Por qué esta persona fue el objetivo

La víctima no fue elegida al azar. La revisión de Intrace de las referencias y el contexto en la dark web reveló que estaba explícitamente etiquetada como un objetivo de alto valor. Este estatus probablemente derivaba de su trabajo previo de respuesta a incidentes en un caso importante de ransomware.

Desde el punto de vista de un atacante, comprometer a alguien con una visibilidad profunda de las defensas y los procesos de respuesta proporciona inteligencia sobre cómo los defensores detectan y responden a ciertas intrusiones, potencial capacidad de presión o represalia contra alguien que previamente había desarticulado sus operaciones, y acceso a valiosas redes de contactos y documentación, aun cuando estas residan principalmente en sistemas corporativos, porque la estación de trabajo personal a menudo se usa como canal paralelo.

Esta combinación de selección personal del objetivo, infraestructura vinculada a Irán, señalización mediante dominios aparcados, intentos de instalar una CA raíz falsa y comportamiento de tipo puerta trasera es coherente con una intrusión deliberada y de múltiples etapas, y no con malware aleatorio de infección masiva.

Cómo estructuró Intrace la investigación

Desde la perspectiva de Intrace, la investigación siguió una estructura clara:

Recepción de señales desde la dark web

  • Detectar el nombre de host y la designación de alto valor en los datos relacionados con Water Black.
  • Confirmar que el host referenciado pertenece a un consultor de Optiv.

Correlación de infraestructura

  • Localizar el host waterblack en el centro de datos de propiedad iraní en Wyoming.
  • Mapear los dominios aparcados relacionados que resuelven al mismo proveedor.
  • Cruzar la información con reportes previos sobre la implicación de la empresa de alojamiento con grupos vinculados a gobiernos.

Telemetría y comportamiento del host

  • Examinar las conexiones salientes hacia dominios aparcados durante varias semanas.
  • Identificar MicrosoftSecurityApp.exe como proceso sospechoso y analizar su comportamiento en torno al momento en que se implementó el bloqueo de red.
  • Revisar las entradas del registro, incluidas las referencias AppX a Game Bar, FTP y SSH.

Artefactos de red y vínculos con herramientas externas

  • Registrar el tráfico TCP 22 hacia 52.98.240.82 y su mención en discusiones sobre GhostContainer.
  • Evaluar si el comportamiento observado encaja en un patrón de puerta trasera o de movimiento lateral.

Integridad de la confianza y la criptografía

  • Investigar el intento de instalación de una CA raíz falsa.
  • Evaluar el riesgo de interceptación continua de tráfico cifrado.

Recomendaciones de contención y refuerzo

  • Aislar la estación de trabajo de los entornos sensibles.
  • Eliminar los binarios y entradas de registro sospechosos.
  • Restablecer las credenciales y reforzar la autenticación multifactor.
  • Aplicar controles estrictos de DNS y de tráfico saliente, con monitoreo de nuevos dominios aparcados y tráfico SSH sospechoso.
  • Auditar los certificados de confianza de la máquina y revocar cualquier CA no autorizada.

Resultado

Al combinar inteligencia de la dark web, análisis de infraestructura, análisis forense del host y una interpretación cuidadosa de los artefactos de red, Intrace pudo reconstruir la ruta del compromiso y esclarecer cómo un consultor de Optiv se convirtió en víctima seleccionada de actividad de amenaza vinculada a Irán. El caso puso de relieve que:

  • Los dispositivos personales usados por profesionales de seguridad pueden convertirse en objetivos estratégicos.
  • Los dominios aparcados y los proveedores de alojamiento poco conocidos pueden servir como infraestructura silenciosa de C2.
  • Los intentos de instalar certificados raíz falsos y de explotar componentes integrados de Windows como Game Bar son coherentes con objetivos de acceso sigiloso y de largo plazo, y no con simple ruido.

Optiv utilizó estos hallazgos para contener el incidente, reforzar el entorno del consultor y ajustar la lógica de detección para buscar patrones similares en otros endpoints y clientes.