Desde ESET han detectado una campaña de ciberespionaje dirigida por el grupo BladedFeline, un grupo vinculado a Irán, y que estaría operando contra altos funcionarios y organismos gubernamentales de Irak y el Kurdistán.
“En los últimos años, estamos viendo cómo el ciberespionaje se ha convertido en una herramienta clave dentro de las estrategias de influencia de ciertos estados. El caso de BladedFeline pone de manifiesto hasta qué punto las infraestructuras gubernamentales, diplomáticas o críticas pueden convertirse en objetivos prioritarios”, señala Josep Albors, director de investigación y concienciación de ESET España. “Detectar este tipo de operaciones permite anticipar riesgos concretos para la estabilidad y soberanía digital de los países afectados. Además, nos ayuda a comprender cómo los actores alineados con ciertos intereses estatales operan de forma sostenida para influir en regiones clave desde el ciberespacio”.
En el marco de la campaña identificada por ESET como Operación RoundPress, el grupo BladedFeline ha utilizado una sofisticada combinación de herramientas maliciosas, entre las que se incluyen dos túneles inversos denominados Laret y Pinar, una puerta trasera personalizada llamada Whisper y un módulo malicioso para servidores IIS conocido como PrimeCache. Estas herramientas permitieron el control remoto encubierto de los sistemas atacados y evidencian un avance en las capacidades técnicas del grupo.
La herramienta Whisper se apoya en una cuenta de correo electrónico comprometida en un servidor Microsoft Exchange, utilizando archivos adjuntos en los mensajes como canal oculto de comunicación. Por su parte, PrimeCache actúa como una puerta trasera embebida en servidores web IIS, y presenta similitudes con RDAT, una herramienta previamente atribuida al grupo de ciberamenazas persistentes avanzadas (APT) OilRig.
BladedFeline, pieza clave para el ciberespionaje
Con base en estas similitudes técnicas y otras evidencias forenses, ESET concluye con un alto grado de certeza que BladedFeline es un subgrupo dentro de OilRig, un actor APT alineado con Irán conocido por atacar objetivos gubernamentales y empresariales en Oriente Medio. Las herramientas utilizadas evidencian un enfoque en la persistencia, el sigilo y la adaptación al entorno objetivo.
Además de las infiltraciones en Irak y el Kurdistán, ESET ha identificado operaciones de BladedFeline contra un proveedor de telecomunicaciones en Uzbekistán. El grupo está activo desde al menos 2017 y ha sido responsable de anteriores campañas como la que utilizó la puerta trasera Shahmaran contra diplomáticos kurdos en 2023.
ESET también investiga otras células vinculadas a OilRig, como Lyceum (también conocido como HEXANE o Storm-0133), centrado en objetivos israelíes. Esta estructura distribuida y especializada sugiere un esfuerzo coordinado por parte de Irán para ampliar su alcance en sectores estratégicos mediante ciberespionaje sostenido.
ESET prevé que BladedFeline continuará perfeccionando sus implantes y ampliando su conjunto de víctimas. Para más detalles técnicos sobre las herramientas utilizadas, se puede consultar el artículo “Whispering in the dark” en el blog de ESET Research, WeLiveSecurity.com.
