Un presunto actor de amenazas del nexo con Irán ha sido atribuido a una campaña dirigida a funcionarios gubernamentales en Irak haciéndose pasar por el Ministerio de Asuntos Exteriores del país para entregar un conjunto de malware nunca antes visto.
Zscaler ThreatLabz, que observó la actividad en enero de 2026, está rastreando el clúster con el nombre Espectro de polvo. Los ataques, que se manifiestan en forma de dos cadenas de infección diferentes, culminan con la implementación de malware denominado SPLITDROP, TWINTASK, TWINTALK y GHOSTFORM.
«Dust Spectre utilizó rutas URI generadas aleatoriamente para la comunicación de comando y control (C2) con valores de suma de verificación añadidos a las rutas URI para garantizar que estas solicitudes se originaran en un sistema infectado real», dijo el investigador de seguridad Sudeep Singh. «El servidor C2 también utilizó técnicas de geocercado y verificación de usuario-agente».
Un aspecto notable de la campaña es el compromiso de la infraestructura relacionada con el gobierno iraquí para organizar cargas maliciosas, sin mencionar el uso de técnicas de evasión para retrasar la ejecución y pasar desapercibidas.
La primera secuencia de ataque comienza con un archivo RAR protegido con contraseña, dentro del cual existe un gotero .NET llamado SPLITDROP, que actúa como conducto para TWINTASK, un módulo de trabajo, y TWINTALK, un orquestador C2.
TWINTASK, por su parte, es una DLL maliciosa («libvlc.dll») que el binario legítimo «vlc.exe» descarga para sondear periódicamente un archivo («C:ProgramDataPolGuidin.txt») cada 15 segundos en busca de nuevos comandos y ejecutarlos usando PowerShell. Esto también incluye comandos para establecer persistencia en el host mediante cambios en el Registro de Windows. La salida del script y los errores se capturan en un archivo de texto separado («C:ProgramDataPolGuidout.txt»).
TWINTASK, en el primer inicio, está diseñado para ejecutar otro binario legítimo presente en el archivo extraído («WingetUI.exe»), lo que provoca que descargue la DLL TWINTALK («hostfxr.dll»). Su objetivo principal es comunicarse con el servidor C2 para obtener nuevos comandos, coordinar tareas con TWINTASK y filtrar los resultados al servidor. Admite la capacidad de escribir el cuerpo del comando desde la respuesta C2 a «in.txt», así como descargar y cargar archivos.
«El orquestador C2 trabaja en paralelo con el módulo de trabajo descrito anteriormente para implementar un mecanismo de sondeo basado en archivos utilizado para la ejecución de código», dijo Singh. «Tras la ejecución, TWINTALK ingresa a un bucle de baliza y retrasa la ejecución en un intervalo aleatorio antes de sondear el servidor C2 en busca de nuevos comandos».
La segunda cadena de ataque representa una evolución de la primera, consolidando toda la funcionalidad de TWINTASK y TWINTALK en un único binario denominado GHOSTFORM. Utiliza la ejecución de scripts de PowerShell en memoria para ejecutar comandos recuperados del servidor C2, eliminando así la necesidad de escribir artefactos en el disco.
Ese no es el único factor diferenciador entre las dos cadenas de ataque. Se ha descubierto que algunos archivos binarios de GHOSTFORM incorporan una URL de Google Forms codificada que se inicia automáticamente en el navegador web predeterminado del sistema una vez que el malware comienza a ejecutarse. El formulario presenta contenido escrito en árabe y se hace pasar por una encuesta oficial del Ministerio de Asuntos Exteriores de Irak.
El análisis de Zscaler del código fuente de TWINTALK y GHOSTFORM también descubrió la presencia de valores de marcador de posición, emojis y texto Unicode, lo que sugiere que se pueden haber utilizado herramientas de inteligencia artificial (IA) generativa para ayudar con el desarrollo del malware.
Es más, se dice que el dominio C2 asociado con TWINTALK, «sitio de aplicación de reunión (.)», fue utilizado por los actores de Dust Spectre en una campaña de julio de 2025 para albergar una página de invitación a una reunión de Cisco Webex falsa que indica a los usuarios que copien, peguen y ejecuten un script de PowerShell para unirse a la reunión. Las instrucciones reflejan una táctica ampliamente vista en los ataques de ingeniería social al estilo ClickFix.
El script de PowerShell, por su parte, crea un directorio en el host e intenta recuperar una carga útil no especificada del mismo dominio y guardarla como un ejecutable dentro del directorio recién creado. También crea una tarea programada para ejecutar el binario malicioso cada dos horas.
Las conexiones de Dust Spectre con Irán se basan en el hecho de que los grupos de hackers iraníes tienen un historial de desarrollo de puertas traseras .NET ligeras y personalizadas para lograr sus objetivos. El uso de infraestructura gubernamental iraquí comprometida se ha observado en campañas pasadas vinculadas a actores de amenazas como OilRig (también conocido como APT34).
«Esta campaña, atribuida con un nivel de confianza medio a alto a Dust Spectre, probablemente se dirigió a funcionarios gubernamentales que utilizaban señuelos convincentes de ingeniería social que se hacían pasar por el Ministerio de Asuntos Exteriores de Irak», dijo Zscaler. «La actividad también refleja tendencias más amplias, incluidas técnicas de estilo ClickFix y el creciente uso de IA generativa para el desarrollo de malware».