Investigadores de ciberseguridad han identificado nuevas infraestructuras vinculadas a APT34 —también conocido como OilRig—, un grupo de amenazas persistentes (APT) sospechoso de operar bajo intereses iraníes. Entre noviembre de 2024 y abril de 2025, el grupo ha desplegado dominios y servidores camuflados como organizaciones académicas de Irak y falsas empresas tecnológicas con sede en Reino Unido.
Aunque no se han detectado cargas maliciosas activas hasta el momento, los patrones técnicos observados indican una etapa de preparación minuciosa, característica del modus operandi de APT34. El uso de claves SSH compartidas, respuestas HTTP falsas en el puerto 8080 y patrones temáticos en dominios revelan tácticas destinadas a evitar la detección y preparar el terreno para futuras operaciones de espionaje o robo de credenciales.
Infraestructura dormida pero peligrosa
Los servidores, alojados principalmente en M247 Europe SRL, imitan organizaciones legítimas para pasar desapercibidos. Uno de los dominios más destacados, biam-iraq[.]org, inicialmente alojado en Host Sailor a finales de 2024, migró a direcciones IP de M247 (38.180.18[.]189 y posteriormente 38.180.140[.]30), donde permaneció inactivo durante meses. Esta estrategia sugiere una planificación preoperativa detallada.
Un comportamiento revelador es el uso de respuestas “404 Not Found” simuladas en el puerto 8080, etiquetadas simplemente como “Document”. Este patrón de distracción, ya documentado en campañas previas de APT34, pretende disuadir el análisis de tráfico sospechoso.
Además, los registros pasivos de DNS revelan subdominios como mail. y webmail., indicando una posible preparación para campañas de phishing o recolección de credenciales.
Empresas ficticias y técnicas de camuflaje
Simultáneamente, se detectaron dominios adicionales como plenoryvantyx[.]eu y zyverantova[.]eu, que pretendían ser empresas tecnológicas británicas ficticias con nombres como “Sphere Spark” y “ZenStack Technologies”. Estas páginas, registradas a través de P.D.R. Solutions (US) LLC y alojadas en servidores de M247, utilizaban contenido genérico y bancos de imágenes para construir una fachada de legitimidad.
Una pista crítica fue la reutilización de una única huella digital SSH (05ce787de86117596a65fff0bab767df2846d6b7fa782b605daeff70a6332eb0) en múltiples servidores entre el 21 y el 29 de marzo de 2025, lo que evidencia un proceso común de aprovisionamiento.
Sumado a certificados TLS repetidos de Let’s Encrypt y la coincidencia de IPs, estos elementos configuran patrones técnicos detectables que permiten a los defensores identificar y agrupar la infraestructura enemiga.
¿Por qué es importante esta detección temprana?
Aunque aún no se han observado campañas activas de malware asociadas a esta infraestructura, el reconocimiento de estas etapas preliminares resulta vital. Permite a los equipos de ciberseguridad pasar de una defensa reactiva a una vigilancia proactiva, interrumpiendo potenciales ataques antes de que se materialicen.
Herramientas como Hunt.io y consultas especializadas HuntSQL pueden ser empleadas para monitorizar estos indicadores de compromiso de forma continua.
Indicadores de compromiso (IOCs)
| IP | Dominios | Hosting | Ubicación |
|---|---|---|---|
| 38.180.140[.]30 | biam-iraq[.]org, mail.biam-iraq[.]org | M247 Europe SRL | Reino Unido |
| 38.180.18[.]189 | plenoryvantyx[.]eu | M247 Europe SRL | Bélgica |
| 38.180.18[.]18 | axoryvexity[.]eu | M247 Europe SRL | Bélgica |
| 38.180.18[.]173 | valtorynexon[.]eu | M247 Europe SRL | Bélgica |
| 38.180.18[.]249 | zyverantova[.]eu | M247 Europe SRL | Bélgica |
| 38.180.18[.]253 | valtryventyx[.]eu | M247 Europe SRL | Bélgica |
vía: GBHackers
