MOIS OilRig cluster

Lectura en audio de este perfil.

Resumen

El clúster OilRig del MOIS es el principal clúster ciberoperativo atribuido al Ministerio de Inteligencia y Seguridad (MOIS) de Irán (Vezarat-e Ettela'at va Amniat-e Keshvar, o VAJA) — el servicio de inteligencia civil de la República Islámica de Irán, distinto y operativamente paralelo a la capacidad cibernética de inteligencia militar de la Organización de Inteligencia del IRGC (rastreado como Charming Kitten / APT35 en este bestiario).¹

El clúster es rastreado en la industria de inteligencia de amenazas bajo múltiples etiquetas de proveedores: APT34 (Mandiant), OilRig (Palo Alto Unit 42, la designación original de 2016 que dio al clúster su nombre más citado), Helix Kitten (CrowdStrike), Greenbug (Symantec), IRN2 (PwC), Cobalt Gypsy (Secureworks), Hazel Sandstorm (Microsoft tras el cambio de nombre posterior a 2023), ITG13 (IBM X-Force), y Lyceum (una designación parcialmente superpuesta utilizada por ICS-CERT y varios proveedores de inteligencia de amenazas para lo que puede ser un subclúster o unidad operativa afiliada). Véase APT designation para el contexto de las convenciones de nomenclatura.²

El clúster OilRig del MOIS tiene un historial público de atribución y acusaciones formales sustancialmente más débil que el clúster paralelo del IRGC IO. Mientras que la entrada del IRGC IO incluye múltiples acusaciones formales del Departamento de Justicia de Estados Unidos nombrando aproximadamente 20 operadores iraníes identificados, el clúster OilRig del MOIS tiene un historial de imputaciones del DOJ sustancialmente más débil — sin una acusación formal autónoma públicamente documentada que apunte directamente a operadores de OilRig/APT34 por nombre — y limitadas designaciones de sanciones del Tesoro. La atribución institucional descansa sustancialmente sobre el trabajo de inteligencia técnica y de metodología de atribución de amenazas de la industria de inteligencia de amenazas y sobre la filtración Lab Dookhtegan del herramental interno del lado del operador en 2019.³

Historia y orígenes

La huella operativa públicamente atestiguada comienza aproximadamente en 2014–2015, con lo que la divulgación de OilRig por Palo Alto Unit 42 en 2016 caracterizó como la primera campaña sostenida de intrusión y recolección del clúster contra objetivos del sector energético y gubernamentales de Oriente Medio. El perfil del oficio operativo del clúster ha permanecido relativamente estable a lo largo del período — sustancialmente menos evolución doctrinal que el clúster paralelo del IRGC-IO, y sustancialmente más dependencia de herramientas comunes y patrones operativos comunes en el panorama más amplio de ciberamenazas regionales de Oriente Medio.⁴

La inversión institucional del MOIS en capacidad cibernética está públicamente menos atestiguada que la inversión paralela del IRGC — el MOIS ha sido históricamente un consumidor institucional más conservador de tecnología operativa que el IRGC, y la huella operativa documentada refleja esa cultura institucional. La capacidad cibernética del MOIS se caracteriza mejor como un programa sostenido de recolección contra adversarios regionales, estructurado para apoyar la misión más amplia de inteligencia humana y recolección política del Ministerio en lugar de operar independientemente de ella.⁵

Huella operativa (documentada)

Selección de objetivos energéticos y gubernamentales de Oriente Medio 2014–2017. La huella operativa documentada fundacional: operaciones sostenidas de intrusión y recolección contra objetivos gubernamentales, del sector energético y de servicios financieros de Arabia Saudí, Emiratos Árabes Unidos, Qatar, Kuwait, Baréin y Omán. El patrón operativo se centró en spearphishing de personal identificado seguido del despliegue de las familias de implantes característicos del clúster (Helminth, ISMAgent, PowRuner, POWBAT) y recolección sostenida de baja firma. Reconstruido en sucesivos informes técnicos de Palo Alto Unit 42, Mandiant y Symantec.⁶

Intrusiones en el gobierno saudí de 2017. Acceso sostenido a múltiples ministerios del gobierno saudí a lo largo de 2017, documentado en sucesivas evaluaciones públicas de la Autoridad Nacional de Ciberseguridad de Arabia Saudí y en los análisis técnicos Greenbug de Symantec. El período operativo de 2017 coincidió con la crisis diplomática saudí-catarí y se centró sustancialmente en la recolección de los servicios diplomáticos y de inteligencia saudíes.⁷

**La filtración Lab Dookhtegan de 2019.** En marzo–mayo de 2019 un actor no identificado que se autodenominaba Lab Dookhtegan (en persa, "labios cosidos" — es decir, aquellos cuyos labios están cosidos cerrados — una frase que hace referencia al silencio impuesto) publicó — en Telegram — una porción sustancial del herramental operativo del clúster OilRig, el inventario de infraestructura, la lista de víctimas y material de identidad de operadores nombrados. El material filtrado incluía el código fuente del clúster, listas de objetivos, bases de datos de credenciales interceptadas, y lo que el filtrador caracterizó como la identificación institucional de aproximadamente seis operadores iraníes identificados. La filtración es el compromiso operativo de servicios de inteligencia más significativo públicamente atestiguado en el registro cibernético públicamente atestiguado y fue la base de evidencia fundacional para el material posterior de investigaciones desclasificadas del Departamento de Justicia de Estados Unidos.⁸

Selección sostenida de objetivos gubernamentales y académicos israelíes. A lo largo del período posterior a 2017 el clúster ha llevado a cabo operaciones sostenidas de intrusión y recolección contra objetivos gubernamentales, de la industria de defensa y académicos israelíes — sustancialmente centrado en la recolección de política, inteligencia e investigación académica relacionadas con Irán dentro de instituciones israelíes. Documentado en sucesivas evaluaciones periódicas de la Dirección Nacional Cibernética de Israel y en informes técnicos de Check Point Software, Trend Micro y Mandiant.⁹

Selección de objetivos gubernamentales y corporativos de Estados Unidos (a partir de 2017). Recolección sostenida contra objetivos gubernamentales de Estados Unidos — sustancialmente centrada en el Departamento de Estado, el Departamento de Energía e instituciones de investigación académica que trabajan en cuestiones de política relacionadas con Irán — y contra objetivos corporativos de Estados Unidos en los sectores de energía, servicios financieros y tecnología. El ritmo operativo contra objetivos estadounidenses ha sido sustancialmente menor que el del clúster paralelo del IRGC-IO contra objetivos estadounidenses.¹⁰

Operaciones regionales posteriores a octubre de 2023. Operaciones sostenidas contra objetivos gubernamentales e infraestructura crítica israelíes durante el período posterior al conflicto de Gaza de octubre de 2023, incluyendo actividad operativa que se superpone con las operaciones paralelas del clúster IRGC IO. La atribución institucional de operaciones específicas posteriores a 2023 entre MOIS y IRGC IO es públicamente menos nítida que el registro anterior a 2023.¹¹

Atribución

La principal atribución pública del clúster OilRig al MOIS descansa sobre la filtración Lab Dookhtegan de 2019 y sobre análisis técnicos posteriores de la industria de inteligencia de amenazas. El material filtrado nombró específicamente la unidad operativa como Rana Intelligence Computing Company (una entidad contratista que trabaja bajo la dirección del MOIS) y proporcionó material documental que identificaba aproximadamente 12 operadores iraníes identificados por nombre, fotografía e información de contacto.¹²

El Departamento del Tesoro de Estados Unidos sancionó a Rana Intelligence Computing Company el 17 de septiembre de 2020, identificando la entidad como una empresa pantalla con base en Tehran utilizada por el Gobierno de Irán para realizar operaciones cibernéticas, y atribuyéndola formalmente al clúster vinculado al MOIS públicamente rastreado como APT39 (también conocido como Chafer y Cadelspy) — un clúster separado de APT34/OilRig. La designación del Tesoro cubrió una campaña de recolección cibernética de varios años contra disidentes iraníes, periodistas, organizaciones de la sociedad civil y compañías internacionales del sector de viajes. La designación de Rana/APT39 es la principal atribución pública del Tesoro de una entidad ciberoperativa contratista del MOIS; el clúster OilRig/APT34 en sí carece de una designación directa correspondiente de entidad del Tesoro.¹³

La lista Most Wanted Cyber del Federal Bureau of Investigation no incluye actualmente acusados de OilRig / APT34 nombrados de la misma manera que las listas relacionadas con acusaciones formales del IRGC IO. La posición institucional del clúster OilRig del MOIS como actor de amenaza públicamente nombrado es por lo tanto más débil que la del clúster paralelo del IRGC IO — establecida a través de la atribución técnica de la industria de inteligencia de amenazas y a través de una designación de sanciones del Tesoro, pero sin un historial sustancial de acusaciones formales del DOJ.¹⁴

Véase también

• Ministry of Intelligence (MOIS) — servicio matriz
• IRGC Intelligence Organisation — entidad matriz hermana de ciberatribución estatal iraní
• IRGC Charming Kitten / APT35 — clúster cibernético hermano del estado iraní a nivel del bestiario
• APT designation — contexto de las convenciones de nomenclatura

Fuentes y lecturas adicionales

1. Mandiant APT34 threat-actor profile; Palo Alto Networks Unit 42 The OilRig Campaign (October 2016) — the foundational technical disclosure.
2. CrowdStrike Helix Kitten threat-actor profile; Symantec Greenbug technical analyses; PwC threat-intelligence series; Secureworks Cobalt Gypsy profile; Microsoft Threat Intelligence naming convention for Hazel Sandstorm.
3. The Lab Dookhtegan leak (Telegram, March–May 2019); subsequent technical analyses by FireEye / Mandiant, Palo Alto Unit 42, and ClearSky; United States Department of Treasury Treasury Sanctions Iranian Cyber Actors (17 September 2020).
4. Palo Alto Unit 42, The OilRig Campaign, op. cit.; subsequent annual updates of the OilRig technical profile.
5. Peter Sinaiko et al., Center for a New American Security analyses of Iranian state-cyber institutional architecture; subsequent academic analysis in Journal of Strategic Studies.
6. Palo Alto Unit 42 OilRig series (2016–2020); Mandiant APT34 technical reports.
7. Symantec, Greenbug technical analyses; Saudi National Cybersecurity Authority public assessments.
8. Lab Dookhtegan Telegram channel (March–May 2019); subsequent journalistic reconstruction in ZDNet (April 2019); ClearSky Cyber Security technical analyses of the leaked material.
9. Israel National Cyber Directorate periodic threat assessments; Check Point Software OilRig reports; Trend Micro regional-targeting research.
10. Mandiant APT34 threat-actor profile; Insikt Group (Recorded Future) Iranian-state cyber threat-actor periodic profiles.
11. Mandiant post-October-2023 Iranian-state cyber-activity research; Microsoft Threat Intelligence quarterly threat-actor reports.
12. Lab Dookhtegan leak material, op. cit.; ClearSky Cyber Security, Rana Institute technical analysis.
13. Department of Treasury, Treasury Sanctions Iranian Cyber Actors, op. cit. (September 2020).
14. FBI Most Wanted Cyber list; Department of Treasury OFAC sanctions designations.