Irán no frenó sus operaciones cibernéticas durante la guerra con Estados Unidos: las aceleró, las dotó de inteligencia artificial y las lanzó con nuevas armas de engaño. El grupo APT Nimbus Manticore (UNC1549), afiliado a la Guardia Revolucionaria Islámica, desplegó entre febrero y abril de 2026 una campaña con malware asistido por IA, instaladores falsos de Zoom y envenenamiento SEO contra los sectores aeronáutico y de software en Norteamérica, Europa y Oriente Medio, según el último informe de Check Point.
Cuando Estados Unidos lanzó la Operación Epic Fury a finales de febrero, la mayoría de los analistas esperaba que el aparato cibernético iraní se pusiera a cubierto. No fue así. Los investigadores de Check Point documentaron algo más inquietante: el grupo utilizó el caos del conflicto como cobertura para acelerar sus operaciones y estrenar métodos de entrega que no había usado antes.
La ofensiva en tres oleadas: del currículum falso al SEO envenenado
La campaña se desarrolló en tres oleadas con una progresión táctica nítida. La primera arrancó antes del conflicto, cuando las tensiones aún crecían. Empleados de empresas de software y aviación en Arabia Saudí y Australia recibieron ofertas de empleo señuelo. Descargaban un archivo ZIP alojado en OnlyOffice. Dentro había un ejecutable firmado por Microsoft, benigno, acompañado de un fichero de configuración malicioso que explotaba el secuestro de AppDomain: forzaba al entorno .NET a cargar una DLL fraudulenta bajo la cobertura de un proceso de confianza. El resultado era una variante mejorada del backdoor MiniJunk.
La segunda oleada, sincronizada con las primeras semanas de Epic Fury, mostró una agilidad inusual. Además de los señuelos clásicos de aerolíneas, los atacantes distribuyeron un instalador troyanizado de Zoom, muy probablemente mediante invitaciones falsas a reuniones. No era una imitación tosca: el instalador monitorizaba la creación de una tarea programada legítima de Zoom y la secuestraba para garantizar la persistencia, sin disparar alarmas. Esta fase introdujo un backdoor inédito al que Check Point bautizó como MiniFast.
La tercera oleada, observada en abril tras el alto el fuego, marcó el estreno de un mecanismo de distribución distinto. Por primera vez, Nimbus Manticore recurrió al envenenamiento SEO, registrando decenas de dominios que apuntaban a una web falsa de descarga de Oracle SQL Developer. No hubo correo de phishing: bastaba con que un desarrollador buscara la herramienta en Bing o DuckDuckGo. La página aparecía en los primeros resultados y servía un instalador cargado con MiniFast. La técnica es pasiva, escalable y muy difícil de atribuir en tiempo real.
Le pongo un dato que considero revelador: de la explotación de correos dirigidos a una sola víctima se pasó a esperar que las presas llegaran solas. Esa es la lógica del SEO envenenado aplicado al ciberespionaje de Estado. Y demuestra que el grupo no solo sobrevivió a la presión de un conflicto armado, sino que la utilizó para ensanchar su superficie de ataque.
La IA no solo acelera el desarrollo de malware; convierte el oficio del espionaje en una cadena de montaje donde el operador puede cambiar de implante casi a la velocidad de una idea.
MiniFast: el código que habla de inteligencia artificial
Lo que hace técnicamente destacable a MiniFast no es solo su arsenal como troyano de acceso remoto —soporta operaciones con ficheros, gestión de procesos, escalado de privilegios y carga de DLL—, sino la forma en que parece haber sido escrito. El informe de Check Point señala múltiples indicios de código generado o asistido con IA: nombres de función excesivamente descriptivos, cadenas de error muy verbosas incluso para llamadas triviales como GetUserName, y una organización modular desproporcionada para la complejidad real del programa.
Nimbus Manticore no depende ya solo de desarrolladores veteranos: emplea herramientas de inteligencia artificial para acortar el ciclo entre idea e implante funcional, incluso en plena campaña militar. He visto mucho código en mi trayectoria, y reconozco las marcas de la IA: defensas excesivas, redundancias que ningún programador con tiempo limitado incluiría. Esas huellas indican que el grupo llena huecos de capacidad con generación automática, lo que le permite mantener un ritmo operativo imposible de sostener con medios artesanales.
No se equivoque conmigo: esto no es un adelanto teórico. Es un salto práctico que acorta la ventana de los defensores. Usted, responsable de seguridad, ya no se enfrenta a un adversario que tarda meses en desarrollar una herramienta nueva, sino a uno que puede iterar mientras usted lee este artículo.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es un ciberataque persistente de tipo APT, con una combinación de spearphishing temático, secuestro de procesos legítimos (AppDomain, tareas programadas) y, como novedad mayor, envenenamiento SEO. El actor atacante es Nimbus Manticore (UNC1549), Amenaza Persistente Avanzada vinculada al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) con años de actividad sobre defensa, aviación y telecomunicaciones. Defienden, en este caso, las empresas afectadas —principalmente del sector aeroespacial y de software— y las agencias de contrainteligencia de los países impactados: NSA y FBI en Estados Unidos, los CERT nacionales europeos y, con toda probabilidad, el CCN-CERT en España. Miran de reojo aliados como Israel y Emiratos Árabes Unidos, que son blancos habituales, y también observa la OTAN, que sigue la evolución del IRGC en el plano cibernético desde al menos 2018.
En el historial del oficio, operaciones como Stuxnet marcaron un antes y un después, y el IRGC ha mantenido desde entonces una línea agresiva. Recuerdo los ataques de APT33 y APT34 a infraestructuras energéticas estadounidenses y, más reciente aún, el sabotaje a sistemas de agua israelíes en 2020. Ahora, con la integración de la IA en el desarrollo de malware, el guion cambia: no es solo tener un arma, es la capacidad de fabricarla bajo demanda mientras el conflicto ruge.
En El quinto elemento, que publiqué en 2015, sostuve que el próximo 11S empezará con un clic. Lo que hace Nimbus Manticore con el SEO envenenado es la versión de Estado de ese principio: esperar a que la víctima llegue sola. Y España no está al margen. Aquí hay más de 8.000 infraestructuras críticas y atacables a través de internet. El CNI mantiene desde hace años una célula dedicada al ciberespionaje iraní, especialmente tras la detección de la APT34 en 2018. Estimo, a juzgar por la naturaleza de los objetivos y la filtración de datos que supone este tipo de acceso persistente, que el material comprometido alcanza el nivel de Secreto, con potencial de escalar a Top Secret si las víctimas incluyen contratistas de defensa.
La capacidad de adaptación mostrada durante una guerra abierta obliga a repensar los tiempos de respuesta. La inteligencia de fuentes abiertas (OSINT) y la cooperación con firmas como Check Point son ahora la primera línea de detección. El CNI y el CCN-CERT saben que la atribución es lenta, pero la velocidad de desarrollo de estos adversarios obliga a acortar cada fase. El próximo informe trimestral de Mandiant o la actualización del catálogo de APT del ODNI nos darán más pistas, pero por ahora una cosa está clara: la IA ya está en el bando de enfrente, y eso cambia las reglas.
