A principios horas del 5 de enero, una popular cuenta disidente iraní anónima llamada Júpiter anunció en Twitter que sus amigos habían asesinado a Abolqasem Salavati, un magistrado calumniado apodado el “Juez de la Muerte”. El tuit se volvió viral y miles de personas llenaron de júbilo el espacio de Twitter de la cuenta para agradecerles por asesinar al hombre responsable de sentenciar a muerte a cientos de presos políticos.
Pronto, sin embargo, algunos asistentes expresaron dudas sobre la veracidad de la afirmación. Fueron maldecidos y expulsados de la habitación, mientras el anfitrión insistía: «¡Esta noche se trata de celebración!» mientras animaba repetidamente a los espectadores a hacer que Space se volviera viral. Al día siguiente, los activistas sobre el terreno y los medios iraníes confirmaron que, de hecho, Salavati estaba vivo. Varios expertos sospechan que Júpiter fue una operación cibernética de la República Islámica de Irán destinada a distraer a la gente, mientras que el gobierno iraní ejecutó a dos manifestantes la misma noche que Twitter Space.
Dentro de sus fronteras, el régimen iraní controla a su población a través de uno de los sistemas de filtrado de Internet más estrictos del mundo, represiones físicas y arrestos masivos llevados a cabo con impunidad. Sin embargo, el IRI es vulnerable más allá de sus fronteras físicas y virtuales, ya que el régimen lucha por contener el discurso y silenciar a los disidentes. Para combatir las narrativas de la oposición en Occidente y entre los activistas domésticos armados con VPN en línea, el ejército cibernético IRI despliega tácticas multifacéticas, tortuosas y, a veces, torpes. Con los disturbios políticos en curso en Irán, las viejas tácticas cibernéticas se han intensificado y nuevos trucos que tienen como objetivo distraer, desacreditar, distorsionar y sembrar desconfianza han salido a la luz cuando el régimen se encuentra en un momento crítico.
Tiempos desesperados, medidas desesperadas
Entre las tácticas utilizadas por los agentes cibernéticos del IRI, conocidos coloquialmente como Cyberi, se encuentra la piratería informática de la vieja escuela. El grupo de piratas informáticos vinculado a Irán, Charming Kitten, ganó notoriedad en 2020 por sus intentos de phishing dirigido a periodistas, académicos y expertos en políticas en Occidente. El grupo fue reconocido por su estrategia característica de pretender ser reporteros o investigadores y fingir interés en el trabajo de sus objetivos como pretexto para configurar solicitudes de entrevistas integradas con un enlace de phishing. Informes recientes del Centro Nacional de Seguridad Cibernética del gobierno del Reino Unido y la firma de seguridad Mandiant encontraron que tales actividades de phishing selectivo de los grupos cibernéticos TA453 y APT42, que están afiliados al Cuerpo de la Guardia Revolucionaria de Irán, han sido cada vez más frecuentes. El mes pasado, la popular cuenta contra el régimen RKOT reclamado haber recibido una solicitud de entrevista geolocalizada en un departamento de IRGC en Shiraz de un individuo que pretendía ser un periodista de Los New York Times.
Según Amin Sabeti, fundador de CERTFA, un colectivo de seguridad cibernética que se especializa en descubrir actividades cibernéticas iraníes respaldadas por el estado, estas operaciones han cambiado sus métodos en los últimos meses, ya que la mayoría de los objetivos de interés conocen la amenaza y han aprendido a protegerse. de spear-phishing. En cambio, dice Sabeti, ahora usan una estrategia de «efecto dominó» al apuntar a objetivos de bajo perfil, cuyas credenciales recolectan para generar confianza y obtener acceso a objetivos de mayor perfil en su red. A principios de este mes, por ejemplo, el activista de derechos humanos iraní-canadiense Nazanin Afshin Jam dicho que recibió un enlace de spear-phishing de un colega de confianza que había sido pirateado.
“En este momento, persiguen a todos los que les interesan, en términos de esta revolución, especialmente a las personas que trabajan en organizaciones sin fines de lucro”, dice Sabeti.
En particular, algunos de estos actores estatales establecen credibilidad y confianza con el tiempo haciéndose pasar por voces en contra del régimen y fervientes partidarios del movimiento de protesta, o construyendo relaciones con objetivos. Una cuenta con el nombre de Sara Shokouhi se creó en octubre de 2022 y afirmaba ser una académica de Medio Oriente. La cuenta pasó meses impulsando las voces de la oposición y escribiendo homenajes sinceros a los manifestantes antes de finalmente siendo descubierto por expertos de Irán como una operación de phishing patrocinada por el estado.