Durante los últimos meses, investigadores en ciberseguridad han identificado la aparición de un nuevo grupo de ciberespionaje vinculado con Irán, cuyo patrón operativo ha despertado el interés de la comunidad internacional.
El conjunto, denominado UNK_SmudgedSerpent, ha desarrollado una serie de campañas que apuntan a académicos y especialistas en política exterior entre junio y agosto de 2025. Su enfoque combina técnicas tradicionales de ingeniería social con métodos avanzados de intrusión digital.
El hallazgo ha generado preocupación entre analistas y expertos en seguridad y ciberespionaje, debido al solapamiento que este grupo mantiene con otros actores de amenazas persistentes avanzadas (APT) iraníes conocidos. La forma en que reutilizan tácticas y comparten infraestructura tecnológica sugiere la existencia de una colaboración o incluso una reorganización interna dentro del panorama del espionaje digital iraní.
Un nuevo actor en ciberespionaje con viejas tácticas
Las investigaciones muestran que UNK_SmudgedSerpent ha empleado correos electrónicos cuidadosamente redactados para iniciar conversaciones con sus objetivos, aparentando un interés académico o institucional. Una vez ganada la confianza, los atacantes intercambian mensajes que conducen a intentos de robo de credenciales.
Entre los elementos más distintivos de esta operación destaca el uso de enlaces fraudulentos que redirigen a herramientas como OnlyOffice o plataformas de monitorización remota poco habituales en este tipo de campañas, como PDQConnect e ISL Online.
La presencia de estas aplicaciones demuestra un grado de experimentación técnica que no suele verse en campañas alineadas con Estados.
El grupo ha recurrido a temas sensibles, como la situación política y social en Irán o la militarización del Cuerpo de la Guardia Revolucionaria Islámica, para elaborar sus señuelos. Estos contenidos se han utilizado en múltiples ocasiones como medio para captar la atención de sus víctimas, reforzando la impresión de legitimidad.
Ciberespionaje con solapamiento con otros grupos de amenazas
Lo más revelador de las actividades de UNK_SmudgedSerpent es la similitud con tácticas observadas en otros grupos iraníes como TA453 (Charming Kitten), TA455 (Smoke Sandstorm) y TA450 (MuddyWater).
Las coincidencias son tan notorias que los expertos consideran probable que exista un intercambio de personal, recursos o incluso la supervisión común de varias células bajo un mismo paraguas institucional en estos casos de ciberespionaje.
El fenómeno de la convergencia operativa podría responder a diferentes causas, como la centralización en la adquisición de infraestructura, la movilidad de expertos técnicos entre proyectos o la cooperación interagencial.
También es posible que el ecosistema iraní esté optando por una estrategia más flexible, donde los grupos comparten técnicas y herramientas para incrementar la eficiencia de sus campañas.
Esta falta de fronteras claras complica la atribución y dificulta la defensa, ya que los analistas deben lidiar con tácticas híbridas y estructuras operativas en constante cambio.
Estrategias de ingeniería social y persistencia
Los métodos empleados por el grupo revelan un nivel de planificación que combina manipulación psicológica con la instalación de software de control remoto. En la mayoría de los casos, las víctimas reciben enlaces que conducen a sitios aparentemente legítimos, donde se solicita información personal o se descarga un archivo malicioso.
Una vez obtenidas las credenciales, los atacantes mantienen el acceso mediante programas de administración remota que permiten la vigilancia continua y el movimiento lateral dentro de la red comprometida.
Este tipo de herramientas son habituales en entornos corporativos, lo que les permite camuflar su actividad bajo operaciones normales del sistema.
El uso de plataformas de confianza otorga a los ataques un aspecto inocuo, reduciendo la posibilidad de detección. Además, el intercambio previo de correos amistosos crea un vínculo psicológico que disminuye la alerta de la víctima, facilitando el éxito del ataque.
Objetivos e implicaciones geopolíticas del ciberespionaje
Los blancos seleccionados en este ciberespionaje no son aleatorios. Se trata de investigadores, analistas y funcionarios que trabajan en áreas relacionadas con la política exterior y las relaciones internacionales. La información recopilada podría emplearse para anticipar decisiones diplomáticas, analizar estrategias de defensa o influir en debates internacionales.
El hecho de que los atacantes se centren en figuras con acceso a conocimiento político o académico revela un propósito estratégico más que económico. Este enfoque en la obtención de inteligencia respalda la teoría de que el grupo actúa bajo intereses estatales, buscando fortalecer la posición de Irán en el contexto global.
Para los gobiernos y entidades académicas, la aparición de UNK_SmudgedSerpent refuerza la necesidad de adoptar medidas más estrictas de ciberseguridad en cuanto al ciberespionaje. Las campañas de concienciación, la autenticación multifactor y la verificación independiente de fuentes se vuelven esenciales para frenar el impacto de este tipo de amenazas.
Aunque no se han detectado nuevas campañas desde agosto de 2025, los investigadores creen que el grupo continúa activo, posiblemente reestructurando su estrategia o transfiriendo capacidades a otros equipos. Este patrón de rotación entre grupos iraníes no es nuevo y refleja un ecosistema que se adapta rápidamente a las medidas defensivas internacionales.
