Netcrook Logo
👤 NEONPALADIN
🗓️ 18 Dec 2025   🌍 Middle-East

Dentro de la Burocracia Cibernética de Irán: Hojas de Cálculo Filtradas Exponen la Maquinaria Detrás del Hackeo Estatal

Nuevas filtraciones revelan que las operaciones cibernéticas de APT35 se gestionan como un departamento gubernamental, con facturas, rastros de pagos y precisión basada en hojas de cálculo.

Cuando los hackers se vuelven corporativos, el mundo presta atención. Pero, ¿qué sucede cuando la unidad de ciberespionaje de una nación resulta ser menos una banda sombría de guerreros del teclado y más una oficina gubernamental bien engrasada, con partidas presupuestarias, facturas y un rastro documental digno de una auditoría de Fortune 500? Una reciente filtración de datos del notorio APT35 de Irán - también conocido como Charming Kitten - ha puesto el foco directamente en el corazón burocrático del hackeo patrocinado por el Estado.

Datos Clave

  • Tres hojas de cálculo filtradas revelan las operaciones internas de APT35: gestión de dominios, pagos e infraestructura de servidores.
  • Más de 50 cuentas de ProtonMail, más de 80 pares de credenciales y decenas de proveedores de hosting están catalogados.
  • Más de $1,200 en pagos con Bitcoin rastreados a través de 55 transacciones usando al menos 32 billeteras únicas.
  • Los registros filtrados vinculan directamente la infraestructura de APT35 con el grupo hacktivista Moses Staff.
  • A pesar del rigor administrativo, APT35 dejó infraestructura y credenciales críticas expuestas durante semanas tras la brecha.

La llamada filtración “Episodio 4” es un tesoro de registros administrativos que se lee menos como el manual de un hacker y más como los archivos de back-office de una empresa de TI de tamaño medio. Las hojas de cálculo registran todo: qué dominios están registrados con qué proveedores, quién pagó qué (y cuándo), e incluso qué identidades europeas seudónimas se usaron para alquilar servidores. No son planos para exploits - son los libros contables y recibos de un aparato cibernético a gran escala.

En el centro de la filtración hay tres hojas de cálculo interconectadas. La primera, llamada 0-SERVICE-Service.csv, detalla registros de dominios, acuerdos de hosting y credenciales de acceso en texto claro para más de 170 servicios, haciendo referencia repetida a proveedores populares como EDIS y NameSilo. La segunda hoja, 0-SERVICE-payment BTC.csv, rastrea meticulosamente los pagos en Bitcoin - pequeñas sumas distribuidas en docenas de billeteras y canalizadas a través de plataformas como Cryptomus, reflejando las tácticas más amplias de evasión financiera de Irán. La tercera, 1-NET-Sheet1.csv, cierra el círculo con direcciones IP y asignaciones de red, todo anotado en persa y mapeado a infraestructura activa.

Lo que emerge es una imagen de operaciones cibernéticas industrializadas. Cada fase - desde la adquisición de dominios hasta el alquiler de servidores y la gestión de credenciales - está estandarizada, es repetible y queda registrada. Números internos de tickets, rastros de facturas y relaciones recurrentes con proveedores dejan claro que esto no es improvisación, sino un flujo de trabajo institucional. Sin embargo, a pesar de su precisión, la seguridad operativa de APT35 resultó alarmantemente laxa: incluso después de la filtración, servidores y cuentas de pago comprometidos permanecieron accesibles durante semanas, exponiendo la paradoja en el corazón de Charming Kitten - disciplina burocrática socavada por la negligencia.

Quizás lo más revelador es la constatación de que la infraestructura de APT35 apoya directamente a Moses Staff, un grupo que durante mucho tiempo se presentó como una célula hacktivista separada y motivada ideológicamente, enfocada en Israel. Cuentas compartidas de ProtonMail, canales de pago superpuestos y registros de servicios cruzados revelan que Moses Staff es simplemente otro “proyecto” dentro de la burocracia cibernética iraní - gestionado, financiado y monitoreado con el mismo rigor administrativo que cualquier iniciativa gubernamental.

Esta filtración no solo expone objetivos o herramientas - deja al descubierto la maquinaria del hackeo patrocinado por el Estado. El verdadero poder, al parecer, no reside en la destreza técnica, sino en el incesante trabajo de papeleo, pagos y procesos. En las salas de guerra cibernéticas de Teherán, la hoja de cálculo - no el kit de exploits - sigue siendo el arma definitiva.

WIKICROOK

  • APT (Amenaza Persistente Avanzada): Una Amenaza Persistente Avanzada (APT) es un ciberataque dirigido y de largo plazo realizado por grupos expertos, a menudo respaldados por Estados, con el objetivo de robar datos o interrumpir operaciones.
  • ProtonMail: ProtonMail es un servicio de correo electrónico seguro y cifrado diseñado para proteger la privacidad y el anonimato del usuario, ampliamente utilizado por defensores de la privacidad y, en ocasiones, por hackers.
  • VPS (Servidor Privado Virtual): Un VPS (Servidor Privado Virtual) es un servidor virtual alquilado que ofrece recursos dedicados, fiabilidad y control, ideal para alojar sitios web y aplicaciones.
  • Billetera de Bitcoin: Una billetera de Bitcoin es una herramienta digital que almacena claves privadas, permitiendo a los usuarios acceder, enviar y gestionar sus Bitcoins de forma segura.
  • Seguridad Operacional (OPSEC): La Seguridad Operacional (OpSec) es la práctica de proteger información y actividades sensibles para que no sean descubiertas o explotadas por adversarios.
Iran Cyber Operations APT35
NEONPALADIN NEONPALADIN
Cyber Resilience Engineer
← Back to news