Se ha observado que el actor de amenazas patrocinado por el estado iraní conocido como APT42 ataca a personas y organizaciones que son de interés para el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) como parte de una nueva campaña centrada en el espionaje.
La actividad, detectada a principios de septiembre de 2025 y considerada en curso, recibió el nombre en código lanzaespectro por la Agencia Digital Nacional de Israel (INDA).
«La campaña se ha dirigido sistemáticamente a altos funcionarios gubernamentales y de defensa de alto valor utilizando tácticas personalizadas de ingeniería social», dijeron los investigadores del INDA Shimi Cohen, Adi Pick, Idan Beit-Yosef, Hila David y Yaniv Goldman. «Estos incluyen invitar a los destinatarios a conferencias prestigiosas o organizar reuniones importantes».
Lo notable del esfuerzo es que también se extiende a los familiares de los objetivos, creando una superficie de ataque más amplia que ejerce más presión sobre los objetivos principales.
APT42 fue documentado públicamente por primera vez a finales de 2022 por Google Mandiant, detallando sus superposiciones con otro grupo de amenazas del IRGC rastreado como APT35, CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, Educated Manticore, GreenCharlie, ITG18, Magic Hound, Mint Sandstorm (anteriormente Phosphorus), TA453 y Yellow Garuda.
Una de las características distintivas del grupo es su capacidad para montar campañas convincentes de ingeniería social que pueden durar días o semanas en un esfuerzo por generar confianza con los objetivos, en algunos casos haciéndose pasar por contactos conocidos para crear una ilusión de autenticidad, antes de enviar una carga maliciosa o engañarlos para que hagan clic en enlaces trampa.
En junio de 2025, Check Point detalló una ola de ataques en la que los actores de amenazas se acercaron a profesionales israelíes de tecnología y ciberseguridad haciéndose pasar por ejecutivos o investigadores de tecnología en correos electrónicos y mensajes de WhatsApp.
Goldman dijo a The Hacker News que SpearSpecter y la campaña de junio de 2025 son distintas y han sido llevadas a cabo por dos subgrupos diferentes dentro de APT42.
«Mientras que nuestra campaña se llevó a cabo en el grupo D de APT42 (que se centra más en operaciones basadas en malware), la campaña detallada por Check Point se llevó a cabo en el grupo B del mismo grupo (que se centra más en la recolección de credenciales)», añadió Goldman.
INDA dijo que SpearSpecter es flexible en el sentido de que el adversario modifica su enfoque en función del valor del objetivo y los objetivos operativos. En una serie de ataques, las víctimas son redirigidas a páginas de reuniones falsas diseñadas para capturar sus credenciales. Por otro lado, si el objetivo final es un acceso persistente a largo plazo, los ataques conducen al despliegue de una conocida puerta trasera de PowerShell denominada TAMECAT que se ha utilizado repetidamente en los últimos años.
Con ese fin, las cadenas de ataque implican hacerse pasar por contactos confiables de WhatsApp para enviar un enlace malicioso a un documento supuestamente requerido para una próxima reunión o conferencia. Cuando se hace clic en el enlace, se inicia una cadena de redireccionamiento para servir un acceso directo de Windows (LNK) alojado en WebDAV que se hace pasar por un archivo PDF aprovechando el controlador de protocolo «search-ms:».
El archivo LNK, por su parte, establece contacto con un subdominio de Cloudflare Workers para recuperar un script por lotes que funciona como un cargador para TAMECAT, que, a su vez, emplea varios componentes modulares para facilitar la exfiltración de datos y el control remoto.
El marco de PowerShell utiliza tres canales distintos, a saber, HTTPS, Discord y Telegram, para el comando y control (C2), lo que sugiere que el objetivo del actor de amenazas es mantener el acceso persistente a los hosts comprometidos incluso si una vía es detectada y bloqueada.
Para C2 basado en Telegram, TAMECAT escucha los comandos entrantes de un bot de Telegram controlado por un atacante, en función del cual recupera y ejecuta código PowerShell adicional de diferentes subdominios de Cloudflare Workers. En el caso de Discord, se utiliza una URL de webhook para enviar información básica del sistema y obtener comandos a cambio de un canal codificado.
«El análisis de las cuentas recuperadas del servidor Discord del actor sugiere que la lógica de búsqueda de comandos se basa en mensajes de un usuario específico, lo que permite al actor entregar comandos únicos a hosts infectados individuales mientras usa el mismo canal para coordinar múltiples ataques, creando efectivamente un espacio de trabajo colaborativo en una sola infraestructura», dijeron los investigadores de INDA.
Además, TAMECAT viene equipado con funciones para realizar reconocimientos, recopilar archivos que coincidan con determinadas extensiones, robar datos de navegadores web como Google Chrome y Microsoft Edge, recopilar buzones de correo de Outlook y tomar capturas de pantalla en intervalos de 15 segundos. Los datos se extraen a través de HTTPS o FTP.
También adopta una variedad de técnicas sigilosas para evadir la detección y resistir los esfuerzos de análisis. Estos incluyen el cifrado de cargas útiles de telemetría y controladores, la ofuscación del código fuente, el uso de binarios que viven fuera de la tierra (LOLBins) para ocultar actividades maliciosas y el funcionamiento principalmente en la memoria, dejando así pequeños rastros en el disco.
«La infraestructura de la campaña SpearSpecter refleja una combinación sofisticada de agilidad, sigilo y seguridad operativa diseñada para sostener un espionaje prolongado contra objetivos de alto valor», dijo INDA. «Los operadores aprovechan una infraestructura multifacética que combina servicios legítimos en la nube con recursos controlados por atacantes, lo que permite un acceso inicial fluido, comando y control persistente (C2) y filtración encubierta de datos».