Investigadores de ESET han detectado una sofisticada campaña de ciberespionaje dirigida por el grupo BladedFeline, vinculado a Irán, contra altos funcionarios y organismos gubernamentales de Irak y el Kurdistán. La operación demuestra un esfuerzo sistemático por infiltrarse y mantener el acceso a redes sensibles de ambas administraciones, con el aparente objetivo de obtener información estratégica y contrarrestar la influencia de gobiernos occidentales en una región clave por sus recursos energéticos y vínculos con potencias.
“En los últimos años, estamos viendo cómo el ciberespionaje se ha convertido en una herramienta clave dentro de las estrategias de influencia de ciertos estados. El caso de BladedFeline pone de manifiesto hasta qué punto las infraestructuras gubernamentales, diplomáticas o críticas pueden convertirse en objetivos prioritarios”, señala Josep Albors, director de investigación y concienciación de ESET España. “Detectar este tipo de operaciones permite anticipar riesgos concretos para la estabilidad y soberanía digital de los países afectados. Además, nos ayuda a comprender cómo los actores alineados con ciertos intereses estatales operan de forma sostenida para influir en regiones clave desde el ciberespacio”.
Durante esta campaña, denominada por ESET como Operación RoundPress, BladedFeline desplegó una combinación de herramientas maliciosas avanzadas, entre las que destacan dos túneles inversos (Laret y Pinar), una puerta trasera personalizada (Whisper) y un módulo malicioso para servidores IIS, denominado PrimeCache. Estas herramientas permitieron el control remoto encubierto de los sistemas comprometidos y muestran una evolución en las capacidades técnicas del grupo.
Whisper utiliza una cuenta de correo comprometida en un servidor Microsoft Exchange como canal de comunicación encubierto mediante archivos adjuntos en correos electrónicos. PrimeCache, por su parte, funciona como puerta trasera integrada en servidores web IIS, y guarda similitudes con RDAT, una herramienta previamente atribuida al grupo APT OilRig.
BladedFeline, pieza clave para el ciberespionaje
Con base en estas similitudes técnicas y otras evidencias forenses, ESET concluye con un alto grado de certeza que BladedFeline es un subgrupo dentro de OilRig, un actor APT alineado con Irán conocido por atacar objetivos gubernamentales y empresariales en Oriente Medio. Las herramientas utilizadas evidencian un enfoque en la persistencia, el sigilo y la adaptación al entorno objetivo.
Además de las infiltraciones en Irak y el Kurdistán, ESET ha identificado operaciones de BladedFeline contra un proveedor de telecomunicaciones en Uzbekistán. El grupo está activo desde al menos 2017 y ha sido responsable de anteriores campañas como la que utilizó la puerta trasera Shahmaran contra diplomáticos kurdos en 2023.
ESET también investiga otras células vinculadas a OilRig, como Lyceum (también conocido como HEXANE o Storm-0133), centrado en objetivos israelíes. Esta estructura distribuida y especializada sugiere un esfuerzo coordinado por parte de Irán para ampliar su alcance en sectores estratégicos mediante ciberespionaje sostenido.
ESET prevé que BladedFeline continuará perfeccionando sus implantes y ampliando su conjunto de víctimas. Para más detalles técnicos sobre las herramientas utilizadas, se puede consultar el artículo “Whispering in the dark” en el blog de ESET Research, WeLiveSecurity.com.
