Hackers iraníes abusan del secuestro de AppDomainManager para evadir la detección de EDR

Los piratas informáticos iraníes han llevado su manual de ciberespionaje a un nuevo nivel, desplegando una sofisticada técnica de secuestro de AppDomainManager en .NET para evadir las defensas de los endpoints y atacar organizaciones en Estados Unidos, Israel y los Emiratos Árabes Unidos. La campaña se intensificó tras un conflicto regional que comenzó el 28 de febrero de 2026, atribuido a un grupo de amenaza persistente avanzada vinculado a Irán que opera bajo varios alias conocidos.

El grupo de amenazas, conocido como Screening Serpens y también identificado como UNC1549, Smoke Sandstorm e Iranian Dream Job, ha estado activo desde al menos 2022. Históricamente enfocado en objetivos de Oriente Medio, el grupo amplió sus operaciones hacia Europa occidental a finales de 2025. Los investigadores de la Unidad 42 identificaron seis nuevas variantes de troyanos de acceso remoto (RAT) implementadas entre febrero y abril de 2026, agrupadas en dos familias de malware denominadas MiniUpdate y MiniJunk V2. Los ataques se distribuyeron en distintas oleadas, afectando primero a Israel a finales de marzo, seguidos por objetivos en los Emiratos Árabes Unidos y otras regiones de Oriente Medio a mediados de abril de 2026.

Los actores de amenazas utilizaron infraestructura de comando y control (C2) distribuida en múltiples dominios y subdominios, incluyendo servicios en Azure, sitios web aparentemente legítimos y plataformas de almacenamiento de archivos. También se observaron cargas útiles distribuidas mediante servicios como ONLYOFFICE y Filemail, utilizados para alojar y entregar archivos comprimidos maliciosos.

Entre los indicadores de compromiso (IoC) se encuentran múltiples dominios asociados a las campañas MiniUpdate y MiniJunk V2, así como direcciones URL de descarga directa de archivos ZIP y otros artefactos maliciosos. Estos recursos fueron utilizados para desplegar cargas útiles dirigidas a distintas regiones, incluyendo Estados Unidos, Israel y Oriente Medio.

La campaña destaca por el uso del secuestro de AppDomainManager en aplicaciones .NET, una técnica que permite a los atacantes interceptar la ejecución de aplicaciones legítimas y cargar código malicioso en memoria, dificultando la detección por parte de soluciones EDR tradicionales.

La publicación "Hackers iraníes abusan del secuestro de AppDomainManager para evadir la detección de EDR" apareció por primera vez en Cyber Security News.

Consultar publicación original ↗