Los equipos de Proofpoint han identificado un nuevo grupo de ciberespionaje vinculado a Irán, denominado UNK_SmudgedSerpent, que entre junio y agosto de 2025 atacó a académicos y expertos en política exterior.
En las campañas analizadas, los atacantes iniciaban conversaciones aparentemente inocuas para ganarse la confianza de sus objetivos y, a continuación, aprovechaban el intercambio por correo para intentar robar credenciales mediante enlaces fraudulentos que imitaban servicios como OnlyOffice o herramientas de gestión remota poco habituales en operaciones estatales. Los señuelos estaban relacionados con la política y los movimientos sociales en Irán, así como con investigaciones sobre la Guardia Revolucionaria.
Parte de las técnicas observadas coincide con las empleadas por otros grupos iraníes —como TA453, TA455 o TA450—, lo que complica la atribución y sugiere cierto solapamiento entre actores. Aunque no se han detectado nuevas campañas desde agosto, los investigadores creen que la actividad podría continuar, en línea con las prioridades de inteligencia exterior del Gobierno iraní.
Proofpoint considera que esta convergencia podría deberse a varios factores: la centralización en la obtención de recursos, el movimiento de personal entre equipos, fusiones operativas, el intercambio de técnicas entre analistas, el despliegue simultáneo de diferentes contratistas en una misma campaña o incluso la coordinación institucional.
Un ecosistema al alza
El ecosistema de ciberamenazas iraní es uno de los más activos y heterogéneos a nivel global. Entre sus grupos más conocidos destacan TA453 (Charming Kitten), especializado en campañas de ingeniería social contra académicos y organismos gubernamentales; TA450 (MuddyWater), históricamente vinculado a intrusiones en infraestructuras críticas; y TA455 (Smoke Sandstorm), protagonista de operaciones con un fuerte componente de espionaje político.
A ellos se suman actores como APT33, APT34 (OilRig) o APT35, responsables de campañas internacionales en sectores como energía, gobierno, defensa y tecnología. La aparición de nuevos grupos que replican técnicas de estos actores refuerza el patrón de solapamiento y colaboración que caracteriza al panorama de ciberoperaciones iraní.
