Plausible Denial
Países / Iran

IRGC IO cyber operations

IRGC-IO cyber

El principal brazo cibernético-operativo atribuido a la Organización de Inteligencia del Cuerpo de la Guardia Revolucionaria Islámica — el servicio de inteligencia militar de Irán, distinto del Ministerio de Inteligencia civil. El grupo es rastreado en la industria de inteligencia de amenazas bajo múltiples etiquetas de proveedores, incluyendo Charming Kitten, APT35 y Mint Sandstorm. Las operaciones incluyen el seguimiento sostenido de disidentes iraníes en el extranjero, objetivos gubernamentales y académicos de Estados Unidos e Israel, y las operaciones de 2019–2020 contra personal de campañas presidenciales de Estados Unidos.

0:00 / 0:00

Lectura en audio de este perfil.

Resumen

La capacidad cibernético-operativa de la Organización de Inteligencia del IRGC es el principal brazo cibernético-operativo públicamente atestiguado de la Organización de Inteligencia del Cuerpo de la Guardia Revolucionaria Islámica (IRGC) — el servicio de inteligencia militar del Cuerpo de la Guardia Revolucionaria Islámica, distinto y operativamente paralelo a la capacidad cibernética de inteligencia civil del Ministerio de Inteligencia (rastreado como OilRig / APT34 en este bestiario).1

El grupo es rastreado en la industria de inteligencia de amenazas bajo un conjunto sustancial de alias: Charming Kitten (CrowdStrike), APT35 (Mandiant), Phosphorus y posteriormente Mint Sandstorm (Microsoft), Newscaster (iSIGHT Partners), Magic Hound (Palo Alto Unit 42), NewsBeef (Kaspersky Lab), TA453 (Proofpoint) y Cobalt Illusion (Secureworks). La proliferación refleja el sustancial ritmo operativo del grupo y su creciente visibilidad multiproveedor a lo largo del período posterior a 2014. Véase APT designation para el contexto de las convenciones de nomenclatura.2

Historia y orígenes

La huella operativa públicamente atestiguada comienza aproximadamente en 2011 con lo que Kaspersky Lab caracterizaría posteriormente como la primera campaña sostenida del grupo dirigida contra comunidades de disidentes iraníes en jurisdicciones occidentales. La atribución institucional específicamente a la Organización de Inteligencia del IRGC (en lugar de al Estado iraní en general) descansa en las acusaciones del Departamento de Justicia de los Estados Unidos de 2018 y 2020, en las entradas de la lista de los criminales cibernéticos más buscados del Buró Federal de Investigaciones, y en los análisis técnicos de apoyo de la industria de inteligencia de amenazas.3

La inversión institucional del IRGC en capacidad cibernética se aceleró sustancialmente después del ataque Stuxnet de 2010 contra la instalación iraní de enriquecimiento de uranio de Natanz, en lo que se caracteriza ampliamente en análisis posteriores como una respuesta doctrinal a la vulnerabilidad asimétrica demostrada de la infraestructura estatal iraní ante operaciones cibernéticas occidentales. La capacidad cibernética del IRGC IO se ha mantenido operativamente activa a lo largo del período y muestra una evolución sustancial en herramientas y técnicas operativas.4

Huella operativa (documentada)

2011–2016 seguimiento de disidentes iraníes. Operaciones sostenidas de ingeniería social y robo de credenciales contra comunidades de disidentes iraníes en Europa, América del Norte y el Reino Unido. El patrón operativo se centra en un sustancial reconocimiento previo a la operación de las comunidades objetivo, seguido de una elaborada ingeniería social — típicamente haciéndose pasar por periodistas, académicos, organizadores de conferencias o familiares para establecer confianza, y luego dirigiendo al objetivo hacia infraestructura de spearphishing diseñada para capturar credenciales de cuenta. Documentado en informes sucesivos del Citizen Lab de la Munk School of Global Affairs de la Universidad de Toronto y por Amnesty International.5

**Campaña de 2016 Newscaster / NewsBeef.** Una campaña de ingeniería social plurianual en la que los operadores se hicieron pasar por periodistas y operaron infraestructura falsa de organización periodística (la red de personas "NewsOnAir") para atacar objetivos gubernamentales, de la industria de defensa y académicos de Estados Unidos. La operación es el caso documentado fundacional de las técnicas operativas de ingeniería social del grupo y fue la primera reconstrucción importante de la literatura secundaria occidental del perfil cibernético-operativo atribuido al IRGC.6

2018–2020 seguimiento de Estados Unidos y el Reino Unido. La acusación del Departamento de Justicia de los Estados Unidos del 23 de marzo de 2018 nombró a nueve ciudadanos iraníes — Gholamreza Rafatnejad, Ehsan Mohammadi, Abdollah Karima, Mostafa Sadeghi, Seyed Ali Mirkarimi, Mohammed Reza Sabahi, Roozbeh Sabahi, Abuzar Gohari Moqadam y Sajjad Tahmasebi — en relación con intrusiones sostenidas en aproximadamente 320 universidades (incluidas 144 universidades de Estados Unidos y 176 universidades en otros 21 países), 47 corporaciones, el Departamento de Trabajo de Estados Unidos, la Comisión Federal Reguladora de Energía, las Naciones Unidas y el Fondo de las Naciones Unidas para la Infancia, y repositorios académicos de investigación occidentales. La afiliación institucional especificada en la acusación es el Mabna Institute, un contratista iraní que trabaja bajo la dirección del IRGC.7

Operaciones de 2019–2020 contra personal de campañas presidenciales de Estados Unidos. En octubre de 2019, Microsoft reveló públicamente que el grupo Phosphorus (posteriormente Mint Sandstorm) había llevado a cabo aproximadamente 2.700 operaciones de reconocimiento contra las cuentas personales de correo electrónico de personal de campañas políticas, funcionarios gubernamentales y periodistas de Estados Unidos durante agosto–septiembre de 2019, con compromiso exitoso de aproximadamente cuatro cuentas. La atribución pública de Microsoft al Gobierno iraní fue la primera gran atribución corporativa en tiempo real del grupo IRGC IO a una operación activa de seguimiento electoral. El intento de compromiso de junio de 2020 contra personal de la campaña presidencial Trump 2020 fue atribuido al mismo grupo por el Threat Analysis Group de Google.8

Seguimiento sostenido de Israel, Arabia Saudita y los Estados del Golfo. A lo largo del período posterior a 2014, el grupo ha llevado a cabo recolección sostenida contra objetivos gubernamentales, de la industria de defensa y académicos israelíes; contra instituciones diplomáticas y del sector energético de Arabia Saudita y los Estados del Golfo; y contra observadores internacionales y organizaciones de derechos humanos que monitorean cuestiones de derechos humanos y cumplimiento de sanciones iraníes. El patrón de seguimiento refleja los requisitos de recolección estratégica más amplios del IRGC documentados en sucesivas evaluaciones públicas del Departamento de Estado de los Estados Unidos y del Consejo de Seguridad Nacional de Israel.9

Operaciones recientes 2022–2024. Operaciones sostenidas contra objetivos gubernamentales e infraestructuras críticas israelíes durante el período del conflicto de Gaza posterior a octubre de 2023, incluido el ataque Lord Nemesis de diciembre de 2023 contra la infraestructura israelí de agua y aguas residuales; contra objetivos del sector energético de Estados Unidos y Europa tras la reimposición por parte de Estados Unidos de sanciones secundarias sobre la infraestructura iraní de exportación de petróleo; y contra el personal de la campaña presidencial de Estados Unidos de 2024 — con la acusación de septiembre de 2024 del Departamento de Justicia de los Estados Unidos contra tres operadores afiliados al IRGC en relación con operaciones contra el personal de la campaña de Trump.10

Atribución

Las acusaciones del Departamento de Justicia de los Estados Unidos — marzo de 2018 (nueve acusados asociados con el Mabna Institute), septiembre de 2020 (acusados adicionales), noviembre de 2021 (la acusación del DOJ contra dos ciudadanos iraníes por operaciones relacionadas con interferencia electoral) y septiembre de 2024 (la acusación de la campaña Trump) — constituyen colectivamente la atribución fundacional de registro público del grupo IRGC IO. La afiliación institucional especificada en las acusaciones es diversamente "el Cuerpo de la Guardia Revolucionaria Islámica", "la Organización de Inteligencia del IRGC" o entidades contratistas (Mabna Institute, Emennet Pasargad) que trabajan bajo la dirección del IRGC.11

El Buró Federal de Investigaciones ha añadido aproximadamente 14 operadores nombrados afiliados al IRGC a su lista de los criminales cibernéticos más buscados durante el período 2018–2024. El Departamento del Tesoro de los Estados Unidos ha impuesto sanciones específicas a la dirección cibernética del IRGC IO y a múltiples entidades contratistas — Mabna Institute (marzo de 2018), Emennet Pasargad (octubre de 2021) y el Director del IRGC IO (múltiples). La posición institucional de la capacidad cibernética del IRGC IO como actor de amenaza públicamente nombrado en toda la arquitectura de atribución de Estados Unidos, el Reino Unido e Israel está consolidada.12

Véase también

  • Organización de Inteligencia del IRGC — servicio matriz
  • Ministerio de Inteligencia (MOIS) — actor cibernético hermano del Estado iraní (ministerio matriz diferente, misión diferente)
  • MOIS / OilRig — actor cibernético hermano del Estado iraní a nivel del bestiario MSS
  • APT designation — contexto de las convenciones de nomenclatura
  • Stuxnet — el ataque de 2010 contra las cascadas de centrifugadoras iraníes de Natanz, ampliamente caracterizado como el antecedente doctrinal de la inversión iraní contemporánea en capacidad cibernética

Fuentes y lecturas adicionales

  1. Insikt Group (Recorded Future), Iranian-state cyber threat-actor profiles (multi-year update); Mandiant Iranian threat-actor profiles; United States Department of Treasury sanctions designations.
  2. CrowdStrike Global Threat Report series for the Kitten family DPRK-attribution analogue; Mandiant APT35 (Phosphorus) threat-actor profile; Microsoft Threat Intelligence naming convention, including the Sandstorm family for Iran-attributed clusters; Proofpoint TA453 periodic analyses; Palo Alto Unit 42 Magic Hound playbook.
  3. Citizen Lab, University of Toronto Munk School of Global Affairs and Public Policy, Return of the Cherry App and related Iranian-targeting research; Kaspersky Lab GReAT Freezer Paper around Free Meat (2014) — first Kaspersky technical analysis of the cluster.
  4. David E. Sanger, Confront and Conceal: Obama's Secret Wars and Surprising Use of American Power (Crown, 2012); Kim Zetter, Countdown to Zero Day, op. cit.; subsequent academic analysis of Iran's cyber-capability investment in Survival and International Affairs.
  5. Citizen Lab Iranian-targeting research stream (multi-year); Amnesty International, State-Sponsored Online Attacks Against Iran's Civil Society (December 2018).
  6. iSIGHT Partners (now Mandiant), NewsCaster: An Iranian Threat Within Social Networks (May 2014); Kaspersky Lab GReAT, Freezer Paper around Free Meat, op. cit.
  7. United States Department of Justice, Nine Iranians Charged With Conducting Massive Cyber Theft Campaign on Behalf of the Islamic Revolutionary Guard Corps (23 March 2018).
  8. Tom Burt (Microsoft Vice President for Customer Security and Trust), Recent cyberattacks require us all to be vigilant (4 October 2019); Google Threat Analysis Group June 2020 disclosure on the Trump-campaign targeting.
  9. Israel National Cyber Directorate periodic threat assessments; Saudi Arabia National Cybersecurity Authority periodic assessments; subsequent academic analysis in Journal of Strategic Studies.
  10. Mandiant post-October-2023 Iranian-state cyber-activity research; United States DOJ August 2024 indictment of three Iranian nationals.
  11. DOJ indictments (multi-year), op. cit.; Microsoft's October 2019 attribution disclosure, op. cit.
  12. FBI Most Wanted Cyber list (multi-year); Department of Treasury OFAC sanctions designations against IRGC IO leadership and contractor entities (multi-year).