Un grupo de piratería patrocinado por el estado iraní asociado con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) se ha relacionado con una campaña de phishing de lanza dirigida a periodistas, expertos en seguridad cibernética de alto perfil y profesores de informática en Israel.
«En algunas de esas campañas, los atacantes se enfrentaron a los profesionales de la tecnología israelí y la seguridad cibernética que se hicieron pasar por asistentes ficticios a ejecutivos o investigadores de tecnología a través de correos electrónicos y mensajes de WhatsApp», dijo Check Point en un informe publicado el miércoles. «Los actores de amenaza dirigieron a las víctimas que se dedicaron a ellos a falsificar páginas de inicio de sesión de Gmail o Google cumplen con las invitaciones».
La compañía de seguridad cibernética atribuyó la actividad a un grupo de amenazas que rastrea como Manticore educado, que se superpone con APT35 (y su subgrupo APT42), Calanqu, gatito encantador, Charmingcypress, Cobalt Illusion, ITG18, Magic Hound, Mint Sandstorm (antiguo fósforo), Newscaster, Ta453 y Yellow Garuda.
El grupo avanzado de amenaza persistente (APT) tiene una larga historia de orquestar ataques de ingeniería social utilizando señuelos elaborados, que se acercan a objetivos en varias plataformas como Facebook y LinkedIn utilizando personajes ficticios para engañar a las víctimas para implementar malware en sus sistemas.
Check Point dijo que observó una nueva ola de ataques a partir de mediados de junio de 2025 después del estallido de la Guerra de Irán-Israel que atacó a las personas israelíes que usan señuelos falsos de reuniones, ya sea a través de correos electrónicos o mensajes de WhatsApp adaptados a los objetivos. Se cree que los mensajes están diseñados utilizando herramientas de inteligencia artificial (IA) debido al diseño estructurado y la ausencia de cualquier error gramatical.
Uno de los mensajes de WhatsApp marcados por la compañía aprovechó las tensiones geopolíticas actuales entre los dos países para convencer a la víctima para unirse a una reunión, alegando que necesitaban su asistencia inmediata en un sistema de detección de amenazas basado en AI para contrarrestar un aumento en los ataques cibernéticos dirigidos a Israel desde el 12 de junio.
Los mensajes iniciales, como los observados en las encantadoras campañas de gatitos encantadoras anteriores, carecen de artefactos maliciosos y están diseñados principalmente para ganar la confianza de sus objetivos. Una vez que los actores de amenaza construyen una relación en el transcurso de la conversación, el ataque pasa a la siguiente fase al compartir enlaces que dirigen a las víctimas a falsificar páginas de destino capaces de recolectar sus credenciales de cuentas de Google.
«Antes de enviar el enlace de phishing, los actores de amenaza piden a la víctima su dirección de correo electrónico», dijo Check Point. «Esta dirección se llena previamente en la página de phishing de credencial para aumentar la credibilidad e imitar la apariencia de un flujo legítimo de autenticación de Google».
«El kit de phishing personalizado (…) imita de cerca las páginas de inicio de sesión familiares, como las de Google, utilizando tecnologías web modernas, como aplicaciones de página única basadas en React (SPA) y enrutamiento dinámico de páginas. También utiliza conexiones WebSocket en tiempo real para enviar datos robados, y el diseño le permite ocultar su código de escrutinio adicional».
La página falsa es parte de un kit de phishing personalizado que no solo puede capturar sus credenciales, sino también los códigos de autenticación de dos factores (2FA), facilitando efectivamente los ataques de retransmisión 2FA. El kit también incorpora un keylogger pasivo para registrar todas las pulsaciones de teclas ingresadas por la víctima y exfiltrarlas en caso de que el usuario abandone el proceso a mitad de camino.
Algunos de los esfuerzos de ingeniería social también han involucrado el uso de los dominios de los sitios de Google para alojar a las páginas de Google Google con una imagen que imita la página de reunión legítima. Al hacer clic en cualquier parte de la imagen, dirige a la víctima a las páginas de phishing que desencadenan el proceso de autenticación.
«Manticore educado continúa representando una amenaza persistente y de alto impacto, particularmente para las personas en Israel durante la fase de escalada del conflicto de Irán-Israel», dijo Check Point.
«El grupo continúa operando de manera constante, caracterizada por una agresiva configuración de phishing de lanza, rápida configuración de dominios, subdominios e infraestructura, y derribos de ritmo rápido cuando se identifican. Esta agilidad les permite permanecer efectivos bajo un mayor escrutinio».