En las últimas semanas los investigadores de seguridad han desentrañado una campaña de espionaje digital que apunta directamente a quienes documentan y buscan información sobre los abusos ocurridos en Irán desde finales de 2025. La firma francesa HarfangLab bautizó esta operación como RedKitten tras identificar una cadena de infección que comienza con un archivo comprimido en 7-Zip y termina con un implante persistente capaz de recibir instrucciones a través de Telegram. Puedes leer el análisis técnico de HarfangLab aquí: harfanglab.io.
El contexto no es menor: la campaña coincide con una ola de protestas nacionales que estallaron a fines de 2025 por la subida de precios y la depreciación de la moneda, y que, según organizaciones como Amnesty International, desencadenaron una fuerte represión, numerosas víctimas y cortes masivos de Internet que complicaron la circulación de información. Informes de prensa han documentado además el gravísimo impacto en la vida cotidiana durante esos apagones digitales: ver por ejemplo la cobertura de Cloudflare sobre los cierres de conectividad y la dificultad para comunicarse.
La trampa inicial es aparentemente sencilla y emocionalmente potente: un archivo XLSM con un nombre en farsi que promete listados de personas desaparecidas o fallecidas en las protestas. Pero detrás de la apariencia compasiva se esconde una macro VBA maliciosa que, si el usuario habilita las macros, actúa como gotero para una biblioteca C# que se inyecta en el proceso mediante una técnica conocida como AppDomainManager injection. El archivo detectado por la comunidad está archivado en VirusTotal: registro del 7‑Zip.
Uno de los aspectos más llamativos del reporte es la observación de los analistas sobre la autoría del código VBA: el estilo, los nombres de variables y ciertos comentarios sugieren que el código pudo haber sido generado con ayuda de un modelo de lenguaje. Esto encaja con una tendencia creciente en la que actores maliciosos emplean herramientas de inteligencia artificial para acelerar la creación de phishing y malware, complicando tanto la atribución como la detección.
El implante resultante ha sido denominado SloppyMIO y posee una arquitectura modular. En lugar de depender de infraestructura propia expuesta, los operadores usan servicios públicos como GitHub y Google Drive para ocultar la forma en que recuperan su configuración: un repositorio público actúa como resolución de “dead drop” que apunta a URLs de Google Drive donde hay imágenes que, al descargarse, contienen la configuración escondida mediante técnicas esteganográficas. Esa configuración incluye el token de un bot de Telegram y el identificador de chat que el malware usa para comunicarse con su operador.
Con esa canalización en funcionamiento, SloppyMIO puede descargar módulos adicionales y ejecutar órdenes remotas. Entre sus capacidades están ejecutar comandos remotos, recolectar y comprimir archivos para exfiltración dentro de los límites de la API de Telegram, desplegar binarios codificados dentro de imágenes y establecer persistencia mediante tareas programadas. En suma, se trata de una herramienta completa para espionaje y exfiltración que evita emplear servidores tradicionales y, por tanto, dificulta su rastreo, aunque el uso de servicios compartidos deja metadatos que también pueden ser útiles para los defensores.
Los indicios que apuntan a una conexión con intereses estatales iraníes no se limitan al idioma de los ficheros: el tema del señuelo, las técnicas empleadas y paralelismos tácticos con campañas previas hacen que los investigadores planteen un vínculo con grupos afines a Teherán. No es la primera vez que actores usan plataformas legítimas como GitHub para dejar “mensajes” o enlaces que el malware luego interpreta; informes anteriores ya habían documentado campañas con tácticas similares. El uso de infraestructura de terceros, además, plantea un dilema: por un lado dificulta el bloqueo tradicional, pero por otro deja huellas que los equipos de respuesta pueden aprovechar para trazar la operación.
Este episodio se inscribe además en un contexto mayor de actividad hostil en la región: en las últimas semanas el investigador y activista Nariman Gharib ha publicado muestras de una campaña de phishing que suplanta WhatsApp para robar sesiones mediante QR y que incluso pide permisos de cámara y micrófono para convertir el navegador en una herramienta de vigilancia. Su reporte y los artefactos están disponibles públicamente en GitHub y en su sitio: github.com/narimangharib y blog.narimangharib.com.
La investigación periodística y técnica sobre estos ataques también ha descubierto un patrón de víctimas que va más allá de activistas y periodistas: académicos, líderes comunitarios, empresarios y funcionarios han sido objetivo de técnicas diseñadas para robar credenciales —incluida la falsificación de páginas de inicio de sesión que solicitan contraseñas y códigos de verificación de dos factores—, como detalló TechCrunch en un reportaje reciente: techcrunch.com.
Las revelaciones sobre grupos como Charming Kitten y herramientas internas de vigilancia agregan otra capa de preocupación: filtraciones previas han mostrado sistemas de seguimiento y plataformas de recolección de datos asociadas a distintos centros de poder en Irán, y también han puesto al descubierto redes de formación y reclutamiento con conexiones a instituciones estatales que complican la separación entre actividades civiles y operaciones de inteligencia. Algunos documentos publicados por investigadores externos exponen detalles sobre estas estructuras y entidades que han sido sancionadas en el pasado, como recoge la información pública del Departamento del Tesoro de Estados Unidos: home.treasury.gov.
Si bien las investigaciones técnicas son cruciales, este caso subraya algo más humano: los atacantes están explotando la preocupación legítima de las víctimas, fabricando listados que aparentan ser pruebas de vidas perdidas o desaparecidas para provocar reacciones impulsivas. El análisis de los archivos publicados por los investigadores reveló inconsistencias en los datos (fechas y edades contradictorias, por ejemplo), lo que sugiere que los señuelos fueron construidos artificialmente para atraer clics.
En términos más amplios, RedKitten es una señal de alerta sobre la convergencia entre amenazas tradicionales y nuevas herramientas: la combinación de señuelos emocionales, infraestructura pública y, posiblemente, asistentes de generación de código acelera la capacidad operativa de actores hostiles. Para defensores y usuarios implica un doble desafío: educar a comunidades vulnerables sobre los riesgos de abrir adjuntos no verificados, y al mismo tiempo mejorar las defensas técnicas para detectar patrones de comportamiento malicioso que no se apoyen únicamente en la presencia de un servidor C2 “clásico”.
Las piezas del rompecabezas —informes técnicos, análisis forense y filtraciones previas— no arrojan hoy una respuesta definitiva sobre el interés último detrás de cada operación, pero sí muestran una sofisticación creciente en la forma de ejecutar campañas de espionaje. Cuando las narrativas utilizadas para engañar tocan heridas reales, la responsabilidad de investigadores, medios y plataformas es doble: documentar y explicar sin revictimizar, y ayudar a diseñar barreras que reduzcan el éxito de quienes se aprovechan del dolor ajeno. Para quienes busquen seguir de cerca la investigación, los informes y las muestras técnicas compartidas por HarfangLab y otros investigadores son un buen punto de partida: harfanglab.io, el dossier de Nariman Gharib en GitHub y la cobertura de medios técnicos como TechCrunch.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...