Investigadores de ciberseguridad han revelado detalles de una nueva campaña denominada COSECHA CRESCENTEprobablemente dirigido a partidarios de las protestas en curso en Irán para llevar a cabo robo de información y espionaje a largo plazo.
La Unidad de Investigación de Amenazas de Acronis (TRU) dijo que observó la actividad después del 9 de enero, con ataques diseñados para entregar una carga maliciosa que sirve como troyano de acceso remoto (RAT) y ladrón de información para ejecutar comandos, registrar pulsaciones de teclas y filtrar datos confidenciales. Actualmente no se sabe si alguno de los ataques tuvo éxito.
«La campaña explota los recientes acontecimientos geopolíticos para atraer a las víctimas a abrir archivos .LNK maliciosos disfrazados de imágenes o vídeos relacionados con la protesta», investigadores Subhajeet Singha, Eliad Kimhy y Darrel Virtusio. dicho en un informe publicado esta semana.
«Estos archivos incluyen medios auténticos y un informe en idioma farsi que proporciona actualizaciones de ‘las ciudades rebeldes de Irán’. Este marco a favor de las protestas parece tener como objetivo aumentar la credibilidad y atraer a iraníes de habla farsi que buscan información relacionada con las protestas».
CRESCENTHARVEST, aunque no está atribuido, se cree que es obra de un grupo de amenaza alineado con Irán. El descubrimiento la convierte en la segunda campaña de este tipo identificada como dirigida contra personas específicas después de las protestas a nivel nacional en Irán que comenzaron a finales de 2025.
El mes pasado, la empresa francesa de ciberseguridad HarfangLab detalló un grupo de amenazas denominado RedKitten que apuntaba a organizaciones no gubernamentales e individuos involucrados en la documentación de recientes abusos contra los derechos humanos en Irán con el objetivo de infectarlos con una puerta trasera personalizada conocida como SloppyMIO.
Según Acronis, se desconoce el vector de acceso inicial exacto utilizado para distribuir el malware. Sin embargo, se sospecha que los actores de la amenaza se basan en el phishing o en «esfuerzos prolongados de ingeniería social» en los que los operadores establecen una relación con las víctimas a lo largo del tiempo antes de enviar las cargas maliciosas.
Vale la pena señalar que los grupos de hackers iraníes como Charming Kitten y Tortoiseshell tienen una historia de participación en sofisticados ataques de ingeniería social que implican acercarse a objetivos potenciales bajo personas falsas y cultivar una relación con ellos, que en algunos casos incluso se prolonga durante años, antes de utilizar la confianza como arma para infectarlos con malware.
«El uso de contenido en idioma farsi para ingeniería social y los archivos distribuidos que describen las protestas en términos heroicos sugieren una intención de atraer a personas de origen iraní que hablan farsi y que apoyan las protestas en curso», señaló la empresa de seguridad con sede en Suiza.
El punto de partida de la cadena de ataque es un archivo RAR malicioso que afirma contener información relacionada con las protestas iraníes, incluidas varias imágenes y vídeos, junto con dos archivos de acceso directo de Windows (LNK) que se hacen pasar por una imagen o un archivo de vídeo utilizando el truco de doble extensión (*.jpg.lnk o *.mp4.lnk).
El archivo engañoso, una vez iniciado, contiene código PowerShell para recuperar otro archivo ZIP y, al mismo tiempo, abre una imagen o un vídeo inofensivo, engañando a la víctima haciéndole creer que ha interactuado con un archivo benigno.
Dentro del archivo ZIP hay un binario legítimo firmado por Google («software_reporter_tool.exe») enviado como parte de la utilidad de limpieza de Chrome y varios archivos DLL, incluidas dos bibliotecas no autorizadas que el ejecutable descarga para lograr los objetivos del actor de la amenaza.
- urtcbased140d_d.dll, un implante de C++ que extrae y descifra las claves de cifrado vinculadas a aplicaciones de Chrome a través de interfaces COM. Comparte superposiciones con un proyecto de código abierto conocido como ChromElevator.
- version.dll (también conocido como CRESCENTHARVEST), una herramienta de acceso remoto que enumera los productos antivirus y las herramientas de seguridad instalados, enumera las cuentas de usuario locales en el dispositivo, carga archivos DLL, recopila metadatos del sistema, credenciales del navegador, datos de la cuenta de escritorio de Telegram y pulsaciones de teclas.
CRESCENTHARVEST emplea las API HTTP de Windows Win para comunicarse con su servidor de comando y control (C2) («servicelog-information[.]com»), lo que le permite integrarse con el tráfico normal. Algunos de los comandos admitidos se enumeran a continuación:
- Antipara ejecutar comprobaciones antianálisis
- Supara robar el historial del navegador
- Directoriopara listar directorios
- CWDpara obtener el directorio de trabajo actual
- Cdpara cambiar de directorio
- Obtener usuariopara obtener información del usuario
- PDpara ejecutar comandos de PowerShell (no funciona)
- Registro de clavespara activar el registrador de teclas
- Tel_spara robar datos de sesión de Telegram
- Cocinarpara robar cookies del navegador
- Informaciónpara robar información del sistema
- Azotarpara robar credenciales del navegador
- Subirpara subir archivos
- caparazónpara ejecutar comandos de shell
«La campaña CRESCENTHARVEST representa el último capítulo de un patrón de una década de supuestas operaciones de ciberespionaje de estados-nación dirigidas a periodistas, activistas, investigadores y comunidades de la diáspora en todo el mundo», dijo Acronis. «Mucho de lo que observamos en CRESCENTHARVEST refleja un oficio bien establecido: acceso inicial basado en LNK, carga lateral de DLL a través de binarios firmados, recolección de credenciales e ingeniería social alineada con los eventos actuales».
La divulgación se produce días después de que The New York Times reveló que el gobierno de Irán probablemente rastreó la ubicación de los manifestantes a través de sus teléfonos para advertirles mediante un mensaje de texto que su «presencia en reuniones ilegales» había sido registrada y que estaban bajo «monitoreo de inteligencia».
La medida, afirmó, fue un intento de reprimir la disidencia. Según un informe publicado la semana pasada por el grupo de derechos digitales Holistic Resilience, centrado en Irán, a algunas personas que publicaron en las redes sociales sobre las protestas y otros temas políticos se les suspendieron sus tarjetas SIM.
«La República Islámica está construyendo un modelo distinto de control y vigilancia digital, que no se basa en un aislamiento permanente sino en una conectividad condicional e interrumpible», RaazNet dicho.
«El pilar central de este modelo es la Red Nacional de Información (NIN). A diferencia de la infraestructura física tradicional, como carreteras o fábricas, la NIN no es un proyecto estatal estático. Al igual que otros sistemas digitales, evoluciona continuamente junto con los avances en las tecnologías de las comunicaciones, se somete a versiones periódicas y se amplía en respuesta a los requisitos técnicos y políticos cambiantes».
La medida es parte de una esfuerzo más amplio eso combina información extraídos de bases de datos de gobierno electrónico, cámaras de vigilancia, así como malware implementado mediante ingeniería social para establecer acceso remoto y monitorear los movimientos de sus ciudadanos en línea de manera sostenida. Una de esas herramientas es un troyano modular liviano llamado 2Ac2 RATA que está diseñado para el control del dispositivo de la víctima y la recopilación de datos.
