Un colección de actividad de amenazas nunca antaño conocido con nombre en código UNK_SmudgedSerpiente Se le ha atribuido estar detrás de una serie de ciberataques dirigidos a académicos y expertos en política foráneo entre junio y agosto de 2025, coincidiendo con el aumento de las tensiones geopolíticas entre Irán e Israel.
«UNK_SmudgedSerpent aprovechó atractivos políticos internos, incluido el cambio social en Irán y la investigación sobre la militarización del Cuerpo de la Miembro Revolucionaria Islámica (IRGC)», dijo el investigador de seguridad de Proofpoint, Saher Naumaan, en un nuevo mensaje compartido con The Hacker News.
La compañía de seguridad empresarial dijo que la campaña comparte similitudes tácticas con ataques anteriores organizados por grupos de ciberespionaje iraníes como TA455 (asimismo conocido como Smoke Sandstorm o UNC1549), TA453 (asimismo conocido como Charming Kitten o Mint Sandstorm) y TA450 (asimismo conocido como Mango Sandstorm o MuddyWater).
Los mensajes de correo electrónico tienen todas las características de un ataque clásico de Charming Kitten, en el que los actores de la amenaza atrapan a posibles objetivos entablando con ellos conversaciones benignas antaño de intentar realizar phishing para obtener sus credenciales.
En algunos casos, se ha descubierto que los correos electrónicos contienen URL maliciosas para engañar a las víctimas para que descarguen un instalador de MSI que, si acertadamente se hace tener lugar por Microsoft Teams, en última instancia implementa un software seguro de monitoreo y agencia remota (RMM) como PDQ Connect, una táctica que a menudo adopta MuddyWater.
Proofpoint dijo que las misivas digitales asimismo se han hecho tener lugar por figuras prominentes de la política foráneo estadounidense asociadas con grupos de expertos como Brookings Institution y Washington Institute para darles un barniz de legalidad y aumentar la probabilidad de éxito del ataque.
Los objetivos de estos esfuerzos son más de 20 expertos en la materia de un colección de expertos con sede en Estados Unidos que se centran en cuestiones políticas relacionadas con Irán. En al menos un caso, se dice que el actor de la amenaza, al cobrar una respuesta, insistió en demostrar la identidad del objetivo y la autenticidad de la dirección de correo electrónico antaño de continuar con cualquier colaboración.
«Me comunico con usted para confirmar si usted envió un correo electrónico nuevo expresando interés en el tesina de investigación de nuestro instituto», decía el correo electrónico. «El mensaje se recibió de una dirección que no parece ser su correo electrónico principal y quería respaldar la autenticidad antaño de continuar».
Después, los atacantes enviaron un enlace a ciertos documentos que, según afirmaron, se discutirían en una próxima reunión. Sin requisa, al hacer clic en el enlace, la víctima accede a una página de inicio falsa diseñada para resumir las credenciales de su cuenta de Microsoft.
En otra variación de la prisión de infección, la URL imita una página de inicio de sesión de Microsoft Teams adyacente con un pimpollo «Unirse ahora». Sin requisa, las etapas de seguimiento activadas a posteriori de hacer clic en el supuesto pimpollo de reunión no están claras en esta etapa.
Proofpoint señaló que el adversario eliminó el requisito de contraseña en la página de cosecha de credenciales a posteriori de que el objetivo «comunicara sospechas», en división de llevarlos directamente a una página de inicio de sesión falsa de OnlyOffice alojada en «thebesthomehealth(.)com».
«La narración de UNK_SmudgedSerpent a las URL de OnlyOffice y a los dominios con temas de vitalidad recuerda a la actividad de TA455», dijo Naumaan. «TA455 comenzó a registrar dominios relacionados con la vitalidad al menos desde octubre de 2024, siguiendo un flujo constante de dominios con interés aeroespacial, y OnlyOffice se volvió popular para introducir archivos más recientemente, en junio de 2025».
En el sitio falsificado de OnlyOffice hay un archivo ZIP que contiene un instalador MSI que, a su vez, inicia PDQ Connect. Los demás documentos, según la empresa, se consideran señuelos.
Hay evidencia que sugiere que UNK_SmudgedSerpent participó en una posible actividad actos en el teclado para instalar herramientas RMM adicionales como ISL Online a través de PDQ Connect. Se desconoce el motivo del despliegue secuencial de dos programas RMM distintos.
Otros correos electrónicos de phishing enviados por el actor de amenazas se dirigieron a un normativo radicado en los EE. UU., que buscaba ayuda para investigar el IRGC, así como a otra persona a principios de agosto de 2025, solicitando una posible colaboración en la investigación del «papel cada vez decano de Irán en América Latina y las implicaciones de la política estadounidense».
«Las campañas se alinean con la sumario de inteligencia de Irán y se centran en el examen de políticas occidentales, la investigación académica y la tecnología estratégica», dijo Proofpoint. «La operación insinúa una cooperación en proceso entre las entidades de inteligencia iraníes y las unidades cibernéticas, lo que marca un cambio en el ecosistema de espionaje de Irán».
