Los investigadores de amenazas de Proofpoint, compañía líder en ciberseguridad y cumplimiento normativo, han identificado la actividad de un nuevo grupo de ciberdelincuentes vinculado con Irán, al que han denominado UNK_SmudgedSerpent. Según el informe de la empresa, este grupo habría llevado a cabo ataques dirigidos contra académicos y expertos en política exterior entre los meses de junio y agosto de 2025.
Durante las campañas analizadas, los atacantes mantenían conversaciones aparentemente inocuas con sus víctimas con el fin de ganarse su confianza, para posteriormente intercambiar correos electrónicos que culminaban en intentos de robo de credenciales. Proofpoint ha detectado también acciones de phishing dentro del mismo hilo de correo, mediante el uso de enlaces fraudulentos a aplicaciones poco habituales en operaciones de espionaje estatal, como OnlyOffice, así como las herramientas de gestión remota PDQConnect e ISL Online, utilizadas para mantener el acceso a los sistemas comprometidos.
El grupo habría empleado señuelos relacionados con temas políticos y sociales de Irán, así como con investigaciones sobre la militarización del Cuerpo de la Guardia Revolucionaria Islámica. Las tácticas observadas presentan similitudes con las utilizadas por otros grupos de amenaza persistente avanzada (APT) iraníes, como TA453 (Charming Kitten), TA455 (Smoke Sandstorm) y TA450 (MuddyWater), lo que, según los expertos, complica la atribución directa y podría indicar colaboración o solapamiento entre contratistas o agencias dentro del ecosistema de ciberinteligencia iraní.
Proofpoint señala que esta convergencia de técnicas podría deberse a factores como la compartición de infraestructura, la rotación de personal entre grupos, fusiones operativas o colaboraciones institucionales, lo que refleja una evolución en la forma de operar de las amenazas alineadas con Estados.
Aunque no se ha detectado nueva actividad de UNK_SmudgedSerpent desde agosto, los analistas de Proofpoint advierten que su infraestructura o sus métodos podrían seguir activos. “La aparición de un nuevo grupo que emplea tácticas heredadas sugiere movimientos entre equipos de ciberespionaje iraníes, pero con un objetivo común: la obtención de inteligencia sobre política exterior”, concluyen los investigadores.
