Antes de los misiles vino el hackeo en la guerra de Medio Oriente

La filtración “KittenBusters” expuso la operación interna de APT35, una unidad vinculada a la Guardia Revolucionaria que combina espionaje, ransomware y ataques DDoS bajo una estructura burocrática con objetivos, métricas y mando centralizado.

La filtración de documentos internos de un grupo de ciberespionaje vinculado a Irán ha encendido las alertas en la comunidad internacional de ciberseguridad, al evidenciar la creciente integración entre operaciones digitales y ofensivas militares. Un informe de la firma CloudSEK detalla cómo infraestructuras críticas en Medio Oriente fueron comprometidas años antes de ataques con misiles, revelando un patrón sistemático de preparación estratégica en el ciberespacio.

De acuerdo con el análisis, los sistemas de aviación civil de Jordania permanecieron vulnerados durante meses antes de que proyectiles iraníes atravesaran su espacio aéreo el 28 de febrero de 2026, en respuesta a acciones militares de Estados Unidos e Israel. Esta intrusión permitió la extracción silenciosa de datos sensibles, lo que sugiere que la fase digital del conflicto comenzó mucho antes de cualquier acción visible.

La investigación se sustenta en una filtración publicada en GitHub bajo el nombre “KittenBusters”, la cual expuso registros operativos completos del grupo APT35, también conocido como Charming Kitten o Phosphorus. Este colectivo ha sido atribuido a la Guardia Revolucionaria Islámica, específicamente a su división de inteligencia, consolidando su papel como un actor estatal clave en el ciberespionaje global.

Los documentos revelan una operación metódica desarrollada entre 2021 y 2025, durante la cual se llevaron a cabo accesos prolongados a sistemas gubernamentales, extracción de archivos y mapeo detallado de infraestructuras. Entre los objetivos identificados se encuentran dependencias gubernamentales en Jordania, así como sistemas en Dubái y Arabia Saudita, cuyos datos fueron comprometidos antes de ataques dirigidos a instalaciones estratégicas en dichas regiones.

Aunque no existe evidencia concluyente de que la información obtenida haya sido utilizada directamente para seleccionar blancos militares, el informe destaca una correlación significativa entre los sistemas infiltrados y los objetivos posteriormente atacados. Este patrón refuerza la hipótesis de que el ciberespionaje funciona como una fase previa de reconocimiento en conflictos contemporáneos.

Uno de los hallazgos más relevantes es la confirmación de que diversos grupos previamente considerados independientes operan bajo una misma estructura. Identidades como Moses-Staff y Al-Qassam Cyber Fighters fueron vinculadas a APT35, lo que evidencia una unificación de recursos, financiamiento y mando. Esta integración permite coordinar ataques de distinta naturaleza, desde campañas de ransomware hasta ofensivas de denegación de servicio.

Además, la filtración incluyó el código fuente de herramientas maliciosas como BellaCiao y Sagheb RAT, lo que representa un avance significativo para los equipos de defensa, al facilitar la creación de mecanismos de detección más precisos. Sin embargo, también incrementa el riesgo de que estos recursos sean reutilizados por otros actores.

El caso documentado por CloudSEK pone de manifiesto una transformación en la naturaleza de los conflictos modernos, donde las operaciones digitales ya no son complementarias, sino fundamentales. En este nuevo escenario, los primeros movimientos de una guerra pueden ocurrir años antes del enfrentamiento físico, en servidores comprometidos y redes infiltradas, redefiniendo el concepto mismo de seguridad global.

Noticias del tema