Explotación de PLCs por actores vinculados a Irán en infraestructura crítica de EE. UU.
- Security Team
- hace 4 días
- 3 Min. de lectura
El CTI de ICS Labs identificó que agencias federales de los Estados Unidos (FBI, CISA, NSA, EPA, DOE y CNMF) emitieron una alerta urgente sobre una campaña activa llevada a cabo por actores APT afiliados a Irán, dirigida a dispositivos de tecnología operativa (OT), especialmente PLCs (Programmable Logic Controllers) expuestos a Internet.Los ataques ya han provocado interrupciones operativas y pérdidas financieras en múltiples sectores de infraestructura crítica, incluidos servicios gubernamentales, agua, saneamiento y energía.
Alcance y Objetivos
Los ataques tienen como objetivo principal PLCs ampliamente utilizados en la automatización industrial, con especial énfasis en equipos de Rockwell Automation (línea Allen-Bradley), aunque existen indicios de expansión hacia otros fabricantes. Estos dispositivos están integrados en entornos industriales que utilizan HMI y sistemas SCADA, lo que amplía significativamente el potencial de impacto.
Vector de Ataque y TTPs
Los actores explotan principalmente PLCs expuestos directamente a Internet, estableciendo conexiones remotas mediante software legítimo de ingeniería industrial. Este enfoque permite que el acceso inicial ocurra sin la explotación clásica de vulnerabilidades, sino a través de una mala configuración y exposición indebida.Una vez dentro del entorno, los atacantes utilizan puertos comunes de protocolos industriales e implementan mecanismos de acceso remoto, como SSH, garantizando persistencia. También existen indicios de intentos de acceso a dispositivos de otros fabricantes, lo que sugiere una campaña más amplia y oportunista.
Impacto Observado
Interrupciones operativas en procesos industriales
Manipulación de datos críticos (potencial riesgo físico)
Pérdidas financieras asociadas a la indisponibilidad
Compromiso de la integridad de los sistemas OT
Contexto y Atribución
La actividad se atribuye a un grupo APT afiliado a Irán, posiblemente relacionado con el grupo conocido como CyberAv3ngers (Shahid Kaveh Group), previamente asociado al IRGC (Cuerpo de la Guardia Revolucionaria Islámica). Existen indicios de una escalada reciente de estas campañas, motivada por las tensiones geopolíticas actuales.
IOCs
Las agencias identificaron direcciones IP utilizadas por los actores para comunicarse con dispositivos comprometidos. Estos indicadores deben usarse para correlación en registros e investigación, no necesariamente para bloqueo automático sin validación del contexto.
Principales IPs observadas:
135.136.1[.]133 — actividad en marzo de 2026
185.82.73[.]162 — actividad de enero/2025 a marzo/2026
185.82.73[.]164 — actividad de enero/2025 a marzo/2026
185.82.73[.]165 — actividad de enero/2025 a marzo/2026
185.82.73[.]167 — actividad de enero/2025 a marzo/2026
185.82.73[.]168 — actividad de enero/2025 a marzo/2026
185.82.73[.]170 — actividad de enero/2025 a marzo/2026
185.82.73[.]171 — actividad de enero/2025 a marzo/2026
Estas direcciones fueron asociadas al uso de infraestructura de terceros para acceso remoto a PLCs expuestos.
INDICADOR | TIPO |
135.136.1[.]133 | IP |
185.82.73[.]162 | IP |
185.82.73[.]164 | IP |
185.82.73[.]165 | IP |
185.82.73[.]167 | IP |
185.82.73[.]168 | IP |
185.82.73[.]170 | IP |
185.82.73[.]171 | IP |
Recomendaciones para los equipos de seguridad
Los equipos de seguridad deben actuar con urgencia para reducir la superficie de ataque y detectar posibles compromisos. Es fundamental garantizar que ningún PLC esté expuesto directamente a Internet, eliminando por completo la exposición de puertos e implementando el acceso remoto únicamente a través de gateways seguros como VPNs y firewalls con control estricto. El uso de autenticación multifactor (MFA) debe aplicarse siempre que sea posible, especialmente en accesos externos a la red OT.
También es esencial reforzar la protección de los dispositivos de campo, como los módems celulares, garantizando autenticación fuerte y activación de registros para el monitoreo. Los dispositivos PLC deben operar preferentemente en modo “run”, evitando cambios remotos no autorizados, y cualquier funcionalidad innecesaria (como Telnet, FTP, RDP o VNC) debe ser deshabilitada.
Las organizaciones deben mantener copias de seguridad seguras y fuera de línea de las configuraciones y la lógica de los PLCs, lo que permite una recuperación rápida en caso de incidente. Además, se debe implementar un monitoreo continuo del tráfico de red y de eventos, con énfasis en detectar accesos inusuales, cambios de configuración y uso indebido de protocolos industriales.
Por último, se recomienda encarecidamente validar de forma continua los controles de seguridad basándose en marcos como MITRE ATT&CK, probando la eficacia de las defensas frente a técnicas reales utilizadas por adversarios. La madurez de la seguridad en entornos OT debe evolucionar hacia un modelo más proactivo, enfocado en la segmentación, la visibilidad y la respuesta rápida a incidentes.
Fuentes:
Comentarios