EL 22 DE MAYO DE 2026, INVESTIGADORES NEERLANDESES ESPECIALIZADOS EN DELITOS FINANCIEROS IRRUMPIERON EN CENTROS DE DATOS EN DRONTEN Y SCHIPHOL-RIJK E INCAUTARON APROXIMADAMENTE 800 SERVIDORES. EL OBJETIVO ERA WORKTITANS B.V., UN PROVEEDOR DE ALOJAMIENTO QUE, EN APARIENCIA, PARECÍA UNA EMPRESA DE INFRAESTRUCTURA DE INTERNET CUALQUIERA. SIN EMBARGO, LOS INVESTIGADORES DESCUBRIERON ALGO MUCHO MÁS SIGNIFICATIVO: UNA OPERACIÓN CLANDESTINA CONSTRUIDA SOBRE INFRAESTRUCTURA SANCIONADA, QUE SERVÍA DISCRETAMENTE COMO COLUMNA VERTEBRAL DE ALGUNAS DE LAS CAMPAÑAS DE CIBERESPIONAJE MÁS ACTIVAS DE IRÁN.
La historia comienza un año antes. En mayo de 2025, la Unión Europea sancionó a Stark Industries, un proveedor de servicios de internet vinculado a operaciones rusas de guerra de información. En lugar de cerrar, sus responsables simplemente cambiaron de nombre. WorkTitans surgió como su sucesor, supuestamente operando los mismos servidores bajo una nueva denominación corporativa. Fue una maniobra audaz que, durante un tiempo, funcionó.
Tres grupos y un proveedor de alojamiento.
El descubrimiento de esta historia revela mucho sobre el funcionamiento de las operaciones cibernéticas modernas. Tres grupos de ciberdelincuentes iraníes, cada uno con sus propias campañas contra distintos objetivos, utilizaban la infraestructura de WorkTitans para llevar a cabo sus operaciones.
Según nuestro seguimiento de la infraestructura de los ciberdelincuentes, el desmantelamiento de WorkTitans probablemente tuvo un impacto en las operaciones cibernéticas iraníes. Se observó que tres grupos de ciberdelincuentes iraníes, cada uno con sus propias campañas contra distintos objetivos, utilizaban la infraestructura de WorkTitans para fines operativos esenciales.
MuddyWater es un grupo de ciberdelincuentes iraní afiliado al Ministerio de Inteligencia y Seguridad (MOIS), al que Check Point Research ha seguido de cerca durante años. Nuestra investigación previa documentó BugSleep, una puerta trasera personalizada desarrollada e implementada por el grupo en campañas de phishing dirigidas principalmente a organizaciones israelíes. MuddyWater suele obtener acceso inicial mediante correos electrónicos de phishing enviados desde cuentas de organizaciones comprometidas, y tradicionalmente ha utilizado herramientas legítimas de gestión remota como Atera Agent y ScreenConnect para mantener la persistencia. En campañas más recientes, BugSleep reemplazó esas herramientas como su implante preferido, utilizando los servidores de WorkTitans como su infraestructura de comando y control.
Agrius, también conocido como UNC2428, es un grupo vinculado a Irán que ha sido detectado distribuyendo una puerta trasera llamada MURKYTOUR como parte de una campaña de ingeniería social con temática laboral. Según documentó Google Threat Intelligence, el grupo llevó a cabo una campaña suplantando la identidad de un contratista de defensa israelí, atrayendo a las víctimas con lo que parecía ser un proceso legítimo de solicitud de empleo. Las víctimas que mostraron interés fueron dirigidas a un sitio web falso convincente y se les pidió que descargaran una herramienta llamada RafaelConnect.exe, un instalador que los investigadores denominaron LONEFLEET. Una vez ejecutado, presentaba una interfaz realista que solicitaba a los usuarios que completaran sus datos personales y subieran un currículum, mientras desplegaba silenciosamente una puerta trasera llamada MURKYTOUR en segundo plano. Esta puerta trasera se comunicaba a través de la infraestructura de WorkTitans.
Nimbus Manticore también utiliza un enfoque de reclutamiento, pero opera con una base de objetivos más amplia, centrándose en personas de los sectores aeroespacial, aeronáutico y de defensa. El grupo contacta a las víctimas mediante perfiles falsos de reclutadores en LinkedIn y portales de empleo diseñados específicamente para ello, induciéndolas finalmente a descargar un archivo ZIP que parece legítimo pero contiene una DLL maliciosa. Al ejecutar el señuelo, se activa la carga lateral de la DLL, lo que otorga a los atacantes acceso remoto, capacidad de robo de credenciales y una base para el movimiento lateral. Nimbus Manticore también se caracteriza por rotar continuamente su infraestructura entre múltiples proveedores de VPS, incluido WorkTitans, precisamente para dificultar el rastreo y el bloqueo de sus campañas. Más allá del espionaje, la infraestructura de WorkTitans se utilizaba para escanear objetivos en Oriente Medio en busca de vulnerabilidades conocidas en cámaras IP, actividad que se detectó apenas una semana antes de que el ejército estadounidense lanzara la Operación Epic Fury en febrero de 2026. Lo que hace que esta incautación sea particularmente notable es que una sola acción policial contra un proveedor de alojamiento bastó para interrumpir simultáneamente múltiples operaciones activas, cada una dirigida a diferentes sectores y utilizando distintas técnicas, pero todas compartiendo la misma infraestructura subyacente.
La lección oculta a plena vista
La principal conclusión va más allá del titular. Durante años, los defensores se han centrado en direcciones IP individuales, identificando a los ciberdelincuentes conocidos dirección por dirección. Sin embargo, los ciberdelincuentes descubrieron hace tiempo que pueden anticiparse a este enfoque simplemente rotando direcciones IP o escondiéndose tras proveedores de apariencia legítima.
El caso de WorkTitans deja meridianamente claro que el entorno de alojamiento en sí mismo es la señal. Una sola IP puede parecer limpia, mientras que la red a la que pertenece ha sido marcada repetidamente por alojar kits de phishing, malware e infraestructura de escaneo. Este patrón, visible mediante el análisis de la reputación del ASN, el historial DNS pasivo y los informes de abuso, suele ser una señal de alerta mucho más temprana que cualquier IP individual.
¿Qué significa esto para su postura de seguridad?
Las organizaciones mejor posicionadas para detectar amenazas como estas son aquellas que han ido más allá de las consultas de IP puntuales y han comenzado a evaluar la infraestructura de forma integral. Así es como se ve esto en la práctica:
• Asigne las direcciones IP a su entorno de alojamiento. Identifique el ASN, el bloque de red y la organización detrás de cualquier fuente sospechosa, y evalúe si pertenece a un proveedor legítimo o a una red de revendedores de alto riesgo.
• Evalúe la reputación del ASN, no solo las IP individuales. Los patrones de abuso repetidos en varias direcciones dentro del mismo ASN son una señal más fuerte que cualquier IP marcada individualmente.
• Revise el historial DNS pasivo. Busque una alta rotación de dominios, dominios recién registrados o con nombres aleatorios, e infraestructura de phishing o malware asociada con el rango de IP.
• Revise sus propios registros en busca de señales de comportamiento. La actividad de escaneo, los intentos de fuerza bruta, el relleno de credenciales y la búsqueda de exploits desde una fuente VPS son señales de alerta que merecen una investigación más profunda.
• Trate la infraestructura de anonimización con mayor escrutinio. Los intentos de autenticación originados en VPN, proxies o nodos de salida Tor conocidos merecen una revisión más detallada, independientemente de si la IP en sí ha sido marcada.
• Marque las anomalías de geolocalización. Las regiones de la nube inesperadas o los patrones de viaje imposibles merecen una investigación, incluso si por sí solos no confirman una intención maliciosa.
La incautación de WorkTitans fue un éxito para las fuerzas del orden. Pero también sirvió como recordatorio de que las ciberamenazas más persistentes rara vez dependen de un único punto de fallo. Se basan en las brechas entre lo que los defensores revisan individualmente y lo que pasan por alto colectivamente. Cerrar esas brechas es donde comienza el verdadero trabajo.
