Una operación de ciberespionaje atribuida al grupo iraní UNC1549 (también rastreado como “Subtle Snail”) comprometió 34 dispositivos en 11 compañías de telecomunicaciones mediante señuelos de empleo en LinkedIn y un backdoor llamado MINIBIKE. El uso de infraestructura de Azure para el C2 y técnicas de side-loading dificultó la detección y permitió el robo selectivo de credenciales y datos sensibles.
El caso: ingeniería social de “RR. HH.”, side-loading y C2 en la nube
Una investigación publicada el 19 de septiembre de 2025 detalla cómo UNC1549 se hizo pasar por reclutadores de empresas legítimas para contactar a perfiles técnicos (investigadores, desarrolladores y administradores TI) en LinkedIn, validar correos por spear-phishing y culminar con una falsa entrevista vía un dominio señuelo que imitaba a organizaciones del sector aeroespacial. La cadena conducía a la descarga de un ZIP con un ejecutable que disparaba DLL side-loading para activar MINIBIKE, logrando así la ejecución encubierta del backdoor.
El impacto confirmado: 34 dispositivos comprometidos en 11 operadores de telecomunicaciones con presencia en Canadá, Francia, Emiratos Árabes Unidos, Reino Unido y Estados Unidos. Según el reporte, los objetivos no se limitaron a la intrusión; el grupo buscó persistencia a largo plazo y exfiltración de información estratégica, incluyendo configuraciones de VPN y archivos en recursos compartidos.
Herramientas y TTP: MINIBIKE, evasión y robo de credenciales
MINIBIKE es un backdoor modular capaz de enumerar procesos, ejecutar binarios y DLL, subir archivos por partes y mantener comunicación con su C2 a través de Azure (App Services/VPS como proxy) para camuflar el tráfico entre conexiones legítimas a la nube. La persistencia se refuerza con claves de Registro y técnicas anti-análisis (anti-debugging, control-flow flattening, hashing personalizado de API).
Para el robo de credenciales y artefacts de navegadores, los operadores integraron un componente stealer que aprovecha un proyecto público para romper la App-Bound Encryption de Chrome y así descifrar contraseñas almacenadas en Chrome, Brave y Edge. Además, se documentó el interés por credenciales de Microsoft Outlook y la captura de screenshots y portapapeles.
Aunque el eje de la campaña actual son las telecomunicaciones, el historial de UNC1549 muestra actividad continuada desde 2022 contra sectores aeroespacial y defensa en Oriente Medio, con señuelos de empleo y hospedaje de C2 en Azure; su tooling incluye también el backdoor MINIBUS y el tunneler LIGHTRAIL. Ese tradecraft y la infraestructura (más de 125 subdominios C2 en Azure) ya habían sido perfilados por Mandiant/Google en 2024.
Atribución y solapamientos
La campaña es atribuida a un actor de nexo iraní. PRODAFT rastrea el clúster como Subtle Snail y lo vincula al IRGC con evaluación analítica; además, se observan solapamientos con Smoke Sandstorm y Crimson Sandstorm (también conocidos como Tortoiseshell/TA456/Imperial Kitten/Yellow Liderc). La foto sugiere una línea continuista en el uso de ofertas laborales y C2 en nube para espionaje y long-term dwell.
¿Por qué importa para el sector telco (y más allá)?
Las telecos son puntos neurálgicos: ofrecen rutas privilegiadas a metadatos, credenciales de acceso a redes y piezas de infraestructura que, si se comprometen, abren puertas a terceros objetivos. El uso de Azure para C2 y de DLL side-loading reduce señales de alerta tradicionales (listas de bloqueo de dominios “raros”, binarios obviamente maliciosos), lo que aumenta la supervivencia del implante y eleva el listón de detección hacia telemetría de comportamiento y controles de ejecución.
Recomendaciones prácticas
- Endurecer el endpoint: aplicar WDAC/AppLocker, bloquear DLL search-order hijacking, y monitorear procesos que carguen DLL no firmadas/inesperadas junto a ejecutables legítimos (LOLBins).
- Filtrado de egress con allow-lists hacia servicios en la nube usados por la organización; inspeccionar patrones anómalos hacia dominios
*.azurewebsites.netu hospedajes cloud fuera de perfiles conocidos. - Controles de identidad: habilitar MFA resistente a phishing, Conditional Access y protecciones de sesión; rotar credenciales y revocar tokens ante cualquier indicio.
- Navegadores y secretos: forzar perfiles empresariales, desactivar almacenes de contraseñas locales cuando sea viable y vigilar intentos de desencriptado de vaults del navegador.
- Concienciación y playbooks: capacitar a personal técnico sobre señuelos de “RR. HH.”, verificar ofertas por canales alternos y definir runbooks de respuesta ante entregables ZIP/instaladores con adjuntos “legítimos”.
- Hunting: buscar artefactos de MINIBIKE/MINIBUS, claves de Registro de persistencia, cadenas de User-Agent o patrones de DNS asociados; incorporar IOCs/TTPs del advisory de Mandiant y de la cobertura reciente.
Conclusiones
UNC1549 vuelve a demostrar que la nube y la ingeniería social son un binomio eficaz para el espionaje silencioso. Enfrentar estas campañas exige ir más allá del IOC puntual y elevar la visibilidad de comportamiento (carga de DLL, patrones de ejecución y egress cloud), junto con políticas de ejecución que frenen el side-loading. Para las telecos—y cualquier organización con personal técnico muy expuesto en redes profesionales—la combinación de endurecimiento del endpoint, controles de identidad y detección basada en TTPs es hoy la diferencia entre un incidente contenido y meses de acceso persistente.
Más información
- UNC1549 Hacks 34 Devices in 11 Telecom Firms via LinkedIn Job Lures and MINIBIKE Malware — The Hacker News
- When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors — Google Cloud
- Iranian State APT Blitzes Telcos & Satellite Companies — Dark Reading
La entrada LinkedIn como anzuelo: 11 empresas de telecom afectadas, 34 dispositivos comprometidos se publicó primero en Una Al Día.
☞ El artículo completo original de jmgalvis lo puedes ver aquí
No hay comentarios.:
Publicar un comentario