Se sospecha que un actor de amenazas del nexo con Irán está detrás de una campaña de pulverización de contraseñas dirigida a entornos de Microsoft 365 en Israel y los Emiratos Árabes Unidos en medio del conflicto en curso en el Medio Oriente.
La actividad, considerada en curso, se llevó a cabo en tres oleadas de ataques distintas que tuvieron lugar el 3 de marzo, el 13 de marzo y el 23 de marzo de 2026, según Check Point.
“La campaña se centra principalmente en Israel y los Emiratos Árabes Unidos, impactando a más de 300 organizaciones en Israel y más de 25 en los Emiratos Árabes Unidos”, dijo la compañía israelí de ciberseguridad. “También se observó actividad asociada con el mismo actor contra un número limitado de objetivos en Europa, Estados Unidos, Reino Unido y Arabia Saudita”.
Se considera que la campaña se ha dirigido a entornos de nube de entidades gubernamentales, municipios, organizaciones de tecnología, transporte, sector energético y empresas del sector privado de la región.
La pulverización de contraseñas es una forma de ataque de fuerza bruta en la que un actor de amenazas intenta utilizar una única contraseña común contra varios nombres de usuario en la misma aplicación. También se considera una forma más eficaz de descubrir credenciales débiles a escala sin activar defensas que limiten la velocidad.
Check Point dijo que se sabe que la técnica fue adoptada por grupos de hackers iraníes como Peach Sandstorm y Gray Sandstorm (anteriormente DEV-0343) en el pasado para infiltrarse en las redes objetivo.
Básicamente, la campaña se desarrolla en tres fases: escaneo agresivo o pulverización de contraseñas realizado desde los nodos de salida de Tor, seguido de la realización del proceso de inicio de sesión y la filtración de datos confidenciales, como el contenido del buzón.
“El análisis de los registros de M365 sugiere similitudes con Gray Sandstorm, incluido el uso de herramientas del equipo rojo para realizar estos ataques a través de nodos de salida Tor”, dijo Check Point. “El actor de amenazas utilizó nodos VPN comerciales alojados en AS35758 (Rachamim Aviel Twito), lo que se alinea con la actividad reciente vinculada a las operaciones del nexo con Irán en el Medio Oriente”.
Para contrarrestar la amenaza, se recomienda a las organizaciones que supervisen los registros de inicio de sesión en busca de signos de pulverización de contraseñas, apliquen controles de acceso condicional para limitar la autenticación a ubicaciones geográficas aprobadas, apliquen la autenticación multifactor (MFA) para todos los usuarios y habiliten registros de auditoría para la investigación posterior al compromiso.
Irán revive las operaciones clave de Pay2
La divulgación se produce cuando una organización de atención médica estadounidense fue atacada a fines de febrero de 2026 por Pay2Key, una banda de ransomware iraní con vínculos con el gobierno del país. La operación de ransomware como servicio (RaaS), que tiene vínculos con el grupo Fox Kitten, surgió por primera vez en 2020.
La variante implementada en el ataque es una actualización de campañas anteriores observadas en julio de 2025, que utiliza técnicas mejoradas de evasión, ejecución y antiforenses para lograr sus objetivos. Según Beazley Security y Halcyon, no se exfiltró ningún dato durante el ataque, un cambio con respecto al manual de doble extorsión del grupo.
Se dice que el ataque aprovechó una ruta de acceso indeterminada para violar la organización, utilizando una herramienta legítima de acceso remoto como TeamViewer para establecer un punto de apoyo, luego recolectar credenciales para el movimiento lateral, desarmar Microsoft Defender Antivirus al señalar falsamente que un producto antivirus de terceros está activo, inhibir la recuperación, implementar ransomware, enviar una nota de rescate y borrar registros para cubrir las pistas.
“Al borrar los registros al final de la ejecución en lugar de al principio, los actores garantizan que incluso se borre la propia actividad del ransomware, no sólo lo que la precedió”, dijo Halcyon.
Entre los cambios clave que el grupo promulgó tras su regreso el año pasado estuvo ofrecer a sus afiliados un recorte del 80% de las ganancias del rescate, frente al 70%, por participar en ataques contra los enemigos de Irán. Un mes después, se detectó en libertad una variante para Linux del ransomware Pay2Key.
“La muestra se basa en la configuración, requiere privilegios de nivel raíz para ejecutarse y está diseñada para atravesar un amplio alcance del sistema de archivos, clasificar montajes y cifrar datos usando ChaCha20 en modo total o parcial”, dijo el investigador de Morphisec Ilia Kulmin en un informe publicado el mes pasado.
“Antes del cifrado, debilita las defensas y elimina la fricción al detener servicios, eliminar procesos, deshabilitar SELinux y AppArmor e instalar una entrada cron en el momento del reinicio. Esto permite que el cifrador se ejecute más rápido y sobreviva a los reinicios”.
En marzo de 2026, Halcyon también reveló que el administrador del ransomware Sicarii, Uke, instó a los operadores proiraníes a utilizar Baqiyat 313 Locker (también conocido como BQTlock) debido a la afluencia de solicitudes de afiliados. BQTLock, que opera con motivos propalestinos, ha apuntado a los Emiratos Árabes Unidos, Estados Unidos e Israel desde julio de 2025.
“Irán tiene un largo historial de uso de operaciones cibernéticas para tomar represalias contra desaires políticos percibidos”, dijo la compañía de ciberseguridad. “El ransomware se incorpora cada vez más a estas operaciones, con campañas de ransomware que desdibujan la línea entre la extorsión criminal y el sabotaje patrocinado por el Estado”.
