Experis Cyber descubre campaña de ingeniería social iraní que simula ofertas laborales de Rafael contra israelíes.
Campaña iraní de phishing suplanta a Rafael contra israelíes
Una sofisticada campaña de phishing liderada por hackers iraníes, que se hacían pasar por reclutadores de la empresa israelí Rafael Advanced Defense Systems, fue descubierta por la firma de ciberseguridad Experis Cyber. Según el informe publicado el 27 de abril de 2025, los atacantes, identificados como el grupo UNC2428, diseñaron un sitio web falso que imitaba la plataforma oficial de carreras de Rafael, induciendo a las víctimas a descargar un archivo malicioso denominado RafaelConnect.exe. Este archivo instalaba una puerta trasera que permitía el acceso remoto a los dispositivos comprometidos, exponiendo información sensible. La campaña, detectada en octubre de 2024, se dirigía a ciudadanos israelíes mediante correos electrónicos y mensajes que contenían enlaces al sitio fraudulento, explotando el prestigio de Rafael, conocida por desarrollar sistemas como Cúpula de Hierro y David’s Sling.
El sitio falso solicitaba a los usuarios ingresar datos personales y cargar currículums, mientras el archivo malicioso, disfrazado como parte del proceso de solicitud, activaba una puerta trasera avanzada. Roman Malkov, director del Centro de Operaciones de Seguridad (SOC) de Experis Cyber, señaló: “Observamos una clara tendencia de grupos iraníes que utilizan técnicas avanzadas de ingeniería social, creando una apariencia extremadamente creíble”. Los atacantes aprovecharon frases mal redactadas, como “necesitamos tu experiencia en Rafael”, lo que podría haber alertado a los usuarios más atentos sobre la legitimidad de la oferta. Esta campaña refleja un cambio en las tácticas iraníes, que ahora buscan no solo atacar infraestructuras críticas, sino también a ciudadanos comunes mediante métodos que explotan aspiraciones legítimas, como la búsqueda de empleo.
Experis Cyber también identificó otras operaciones iraníes recientes, incluyendo la distribución de software falso que simulaba ser GlobalProtect de Palo Alto Networks, ocultando una puerta trasera llamada CACTUSPAL. Este software malicioso permitía a los atacantes mantener acceso persistente a los sistemas comprometidos. Además, el grupo APT42, conocido como Charming Kitten, fue detectado suplantando páginas de inicio de sesión de Microsoft, Google y Yahoo para robar credenciales. En 2024, se identificaron más de 20 nuevas familias de malware utilizadas por actores iraníes, lo que evidencia un incremento en la sofisticación y frecuencia de estas amenazas. Los expertos recomiendan mantener sistemas actualizados y verificar la autenticidad de los correos y enlaces recibidos.
Datos clave sobre la campaña de phishing iraní contra Rafael
- Grupo responsable: UNC2428, vinculado a actores iraníes.
- Método: Suplantación de la web de Rafael para distribuir el archivo RafaelConnect.exe.
- Objetivo: Acceso remoto a dispositivos mediante puertas traseras.
- Señales de alerta: Frases como “necesitamos tu experiencia en Rafael” con errores gramaticales.
- Recomendaciones: Actualizar sistemas, usar antivirus y verificar enlaces sospechosos.
Esta no es la primera vez que actores iraníes emplean tácticas de ingeniería social contra objetivos israelíes. En julio de 2023, el Shin Bet reveló un campaña de phishing dirigida a empleados estatales y académicos a través de perfiles falsos en LinkedIn. Los atacantes enviaban invitaciones a conferencias o documentos de investigación que contenían malware, permitiendo el control remoto de los dispositivos infectados. Desde entonces, las autoridades han registrado al menos 15 campañas distintas originadas en Irán, con miles de correos dirigidos a sectores públicos y privados. Grupos como Black Shadow y Muddy Water, vinculados al régimen iraní, han intensificado sus esfuerzos para obtener información, causar daños y realizar operaciones de influencia.
Aumento de ciberataques iraníes contra Israel
El Israel National Cyber directorate ha emitido múltiples advertencias sobre el incremento en la sofisticación de las campañas iraníes. En noviembre de 2024, reportó un aumento significativo en los ataques de phishing, que incluyen correos que simulan ser de entidades gubernamentales, invitaciones a eventos académicos o propuestas financieras atractivas. Estas tácticas buscan establecer una presencia inicial en las redes de las víctimas para luego profundizar la intrusión. En diciembre de 2024, el Shin Bet informó que Irán intentó 200 ataques cibernéticos contra altos funcionarios israelíes, incluyendo personal de defensa, políticos y periodistas, con el objetivo de recopilar datos para posibles atentados.
Los actores iraníes también han explotado eventos globales para encubrir sus operaciones. En julio de 2024, aprovecharon una falla en una actualización de CrowdStrike para enviar correos de phishing que simulaban comunicaciones oficiales de la empresa, distribuyendo enlaces maliciosos. Asimismo, han utilizado infraestructuras de nube legítimas, como Microsoft Azure, para ocultar sus actividades y dificultar su detección. Estas tácticas, combinadas con el uso de dominios falsos y técnicas como el typosquatting, demuestran un alto nivel de preparación y adaptación.
En febrero de 2024, un informe de Google identificó una campaña iraní vinculada a los Guardias Revolucionarios, que atacó sectores de defensa y aviación en Israel y otros países. Los hackers emplearon correos de phishing y sitios web falsos para infiltrarse en las redes objetivo, con fines de espionaje y posibles operaciones ofensivas. En agosto del mismo año, Google reportó ataques contra exmilitares de las FDI, diplomáticos y académicos, utilizando correos que simulaban ser de periodistas solicitando comentarios sobre temas sensibles.
La campaña contra Rafael destaca por su enfoque en ciudadanos comunes, una táctica que subraya la vulnerabilidad del factor humano en la ciberseguridad. Las autoridades israelíes, en colaboración con firmas privadas como Experis Cyber, han intensificado los esfuerzos para neutralizar estas amenazas, instando a la población a adoptar medidas como la autenticación de dos factores y el uso de antivirus actualizados. A medida que los actores iraníes continúan refinando sus métodos, la vigilancia y la educación cibernética se consolidan como pilares clave en la defensa nacional.
La entrada Hackers iraníes lanzan campaña de phishing suplantando a Rafael se publicó primero en Noticias de Israel.
