**APTs iraníes atacan infraestructura de EE. UU.** Un aviso conjunto emitido por el **FBI**, **CISA**, **NSA**, la **Agencia de Protección Ambiental (EPA)**, el **Departamento de Energía (DOE)** y el **Comando Cibernético de EE. UU. – Fuerza de Misión Nacional Cibernética (CNMF)**, destaca la creciente amenaza que representan los actores de amenaza persistente avanzada (APT) afiliados a Irán. Estos actores se dirigen específicamente a PLCs expuestos a Internet utilizados en organizaciones de infraestructura crítica, incluyendo Servicios y Facilidades Gubernamentales, Sistemas de Agua y Aguas Residuales, y Energía. El aviso indica que el **FBI** evalúa que estos grupos tienen la intención de causar interrupciones al interactuar maliciosamente con archivos de proyecto y manipular datos mostrados en sistemas de Interfaz Humano-Máquina (HMI) y Adquisición de Datos y Supervisión (SCADA). "Las campañas de ataque de APT afiliados a Irán contra organizaciones de EE. UU. se han intensificado recientemente, probablemente en respuesta a las hostilidades entre Irán y Estados Unidos e Israel", advierte el aviso. **Incidentes Pasados y Afiliaciones de Actores de Amenaza** Un aviso similar en noviembre de 2023 advirtió sobre el grupo de amenaza **CyberAv3ngers**, vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) del Gobierno iraní, explotando vulnerabilidades en sistemas de tecnología operativa (OT) **Unitronics** en EE. UU. Entre noviembre de 2023 y enero de 2024, **CyberAv3ngers** comprometió al menos 75 dispositivos PLC **Unitronics**, con la mitad afectando a redes de infraestructura crítica de Sistemas de Agua y Aguas Residuales (WWS). **Estrategias de Mitigación** Para defenderse de estos ataques, el aviso recomienda lo siguiente: * Desconectar los PLCs de Internet o asegurarlos con un firewall. * Escanear registros en busca de indicadores de compromiso. * Verificar el tráfico sospechoso en puertos de OT, especialmente de proveedores de alojamiento en el extranjero. * Implementar autenticación de múltiples factores (MFA) para el acceso a la red de OT. * Mantener los PLCs actualizados con el último firmware. * Deshabilitar servicios no utilizados y claves de autenticación predeterminadas. * Monitorear el tráfico de red en busca de actividad sospechosa. **Actividad Reciente de Grupos Vinculados a Irán** El mes pasado, el grupo hacktivista **Handala**, vinculado a Irán, borró aproximadamente 80,000 dispositivos en la red de la empresa estadounidense de dispositivos médicos **Stryker**. El **FBI** también ha advertido que hackers iraníes vinculados al Ministerio de Inteligencia y Seguridad (MOIS) del país están utilizando **Telegram** en ataques de malware.