Investigadores en ciberseguridad han identificado una campaña dirigida que aprovecha la indignación y la búsqueda de información sobre las protestas en Irán para distribuir malware. La firma Acronis describió esta operación bajo el nombre de CRESCENTHARVEST, y la detectó a partir del 9 de enero; según su análisis, los atacantes pretendían instalar un caballo de Troya de acceso remoto (RAT) y un componente dedicado al robo de información con capacidades para ejecutar comandos remotos, registrar pulsaciones y extraer datos sensibles.
El señuelo utilizado por los operadores está pensado para convencer a hablantes de farsi: se empaqueta un archivo RAR que aparenta contener fotografías y vídeos de las manifestaciones, acompañado por un informe en persa que supuestamente ofrece actualizaciones desde "ciudades rebeldes". Dentro de ese archivo se incluyen accesos directos de Windows con doble extensión —por ejemplo "imagen.jpg.lnk" o "video.mp4.lnk"— un truco clásico para que el sistema muestre lo que parece ser un archivo multimedia pero en realidad ejecute código. Al abrir uno de esos atajos, se ejecuta un script de PowerShell que descarga un segundo archivo comprimido y, para no levantar sospechas, simultáneamente abre una imagen o vídeo legítimo como señuelo.
El ZIP secundario contiene una combinación inquietante: un binario firmado por Google que forma parte de la utilidad de limpieza de Chrome y varias librerías DLL. Aprovechando el mecanismo de búsqueda de librerías de Windows, los atacantes hacen que el ejecutable legítimo cargue las DLL maliciosas, una técnica conocida como "DLL sideloading". Una de esas librerías actúa como un componente en C++ que extrae claves de cifrado asociadas a aplicaciones de Chrome, mientras que otra —identificada por los investigadores como la implantación CRESCENTHARVEST— implementa las funciones de espionaje y control remoto.
Entre las capacidades observadas de este implante figuran la enumeración de soluciones de seguridad instaladas, el listado de cuentas locales, la carga de módulos adicionales, la recolección de metadatos del sistema, la extracción de credenciales de navegadores, la exfiltración de datos de sesiones de Telegram en su versión de escritorio y un keylogger. Para comunicarse con sus servidores de mando y control, CRESCENTHARVEST emplea las API de WinHTTP de Windows y apunta a un dominio que, según Acronis, sirve para mezclar su tráfico con comunicación legítima.
El patrón de ataque no es novedoso pero sí efectivo: explotar sucesos de actualidad para atraer víctimas, usar accesos directos engañosos como vector inicial, y abusar de binarios legítimos firmados para esquivar controles de seguridad. Acronis señala que, aunque no han atribuido la operación de forma concluyente, la campaña coincide con tácticas históricas de grupos alineados con Irán que han recurrido a la ingeniería social prolongada y a identidades falsas para ganarse la confianza de objetivos —una práctica documentada por agencias y centros de ciberseguridad como parte de la actividad de amenazas persistentes—. Para contextualizar el uso de este tipo de maniobras, puede consultarse la guía de la Agencia Canadiense de Ciberseguridad sobre campañas de manipulación dirigida y spear‑phishing publicada por el Gobierno de Canadá.
Este hallazgo llega poco después de otros análisis que también documentaron intentos de comprometer a activistas, periodistas y organizaciones no gubernamentales relacionadas con la denuncia de abusos en Irán. Empresas de seguridad externas han reportado campañas con objetivos y métodos similares, lo que indica que los movimientos sociales y periodísticos alrededor de un conflicto real se vuelven terreno fértil para operaciones de ciberespionaje dirigidas.
Desde un punto de vista técnico, la campaña recurre a vectores bien conocidos pero peligrosos en su combinación: la utilización de accesos directos (LNK) para engañar al usuario; la descarga silenciosa de artefactos adicionales mediante PowerShell; el uso de un binario firmado por un proveedor legítimo para cargar librerías maliciosas; y finalmente un componente que extrae credenciales y datos de aplicaciones comunes. Microsoft ofrece documentación sobre cómo Windows resuelve la carga de librerías dinámicas y por qué el sideloading puede ser explotado en estos escenarios, información útil para responsables de TI y equipos de seguridad en la documentación oficial de Microsoft.
Para las personas y colectivos que cubren o siguen de cerca los acontecimientos en Irán, el riesgo es doble: por un lado, la motivación para abrir con rapidez materiales que aparentan ser relevantes es alta; por otro, los archivos aparentemente inocentes pueden esconder herramientas de persistencia y exfiltración. Herramientas legítimas del navegador, como la utilidad de limpieza de Chrome cuya firma se aprovechó en esta campaña, pueden ser usadas en el proceso de carga de código malicioso; Google explica la función de ese componente en su página de soporte sobre la herramienta de limpieza de Chrome.
¿Qué pueden hacer quienes se consideran en riesgo? Además de mantener sistemas y software actualizados, conviene evitar abrir archivos comprimidos o enlaces de procedencia dudosa, desconfiar de atajos que muestren doble extensión y no habilitar la ejecución de scripts sin verificar el origen. A nivel organizacional, la monitorización del tráfico saliente, el control de la ejecución de binarios no conocidos y la aplicación de políticas que restrinjan la carga de DLL desde ubicaciones no confiables ayudan a reducir la superficie de ataque. Para recomendaciones prácticas sobre cómo detectar y mitigar campañas de phishing y spear‑phishing, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA/US-CERT) mantiene materiales útiles y accesibles.
La aparición de CRESCENTHARVEST refleja un patrón inquietante: cuando hay conflicto y movimiento social, aparecen actores dispuestos a explotar la atención y la solidaridad en beneficio de operaciones de espionaje. Mantener la guardia, verificar fuentes y adoptar prácticas de higiene digital no es solo una recomendación técnica, sino una medida de seguridad personal y colectiva para quienes informan, documentan o participan en la cobertura de estos acontecimientos.
Para leer el análisis técnico detallado de esta campaña, Acronis publicó un informe con la descripción del flujo de infección y las muestras observadas en su blog de Threat Research Unit.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...