Void Manticore ha surgido como una amenaza significativa para cualquiera que se oponga a los intereses iraníes. Sus operaciones se caracterizan por su doble enfoque, que combina la guerra psicológica con la destrucción real de datos. Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd., proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, ha descubierto las tácticas que emplea este ciberdelincuente, descubriendo una red compleja de personas online, colaboraciones estratégicas y metodologías de ataque sofisticadas.

Void Manticore es un atacante iraní asociado al Ministerio de Inteligencia y Seguridad (MOIS). Su modus operandi consiste en llevar a cabo ataques destructivos combinados con operaciones de influencia. Este ciberdelincuente ha demostrado su capacidad para llevar a cabo ciberataques coordinados y selectivos, en los que actúa bajo distintos nombres en Internet, como «Karma» para ataques en Israel y «Homeland Justice» para ataques en Albania.

Void Manticore y su colaboración con Scarred Manticore agudiza el impacto de sus ciberataques
Un aspecto significativo de las operaciones de Void Manticore es su colaboración con Scarred Manticore., otro grupo de amenazas iraní asociado al MOIS. El análisis muestra traspasos de objetivos entre los dos grupos, lo que indica un esfuerzo coordinado para llevar a cabo actividades destructivas contra víctimas seleccionadas. Scarred Manticore accede inicialmente a los datos de las redes seleccionadas y los filtra, tras lo cual pasa el control a Void Manticore, que ejecuta la fase destructiva de la operación. Esta asociación estratégica no sólo amplifica la escala y el impacto de sus ataques, sino que también plantea un reto enorme para los responsables de ciberseguridad.

Al aprovechar los recursos y la experiencia de múltiples individuos, Void Manticore y sus colaboradores pueden ejecutar sofisticadas campañas cibernéticas con consecuencias de gran alcance. Esta colaboración no sólo amplía el impacto de Void Manticore, sino que también sugiere un nivel de sofisticación más allá de sus capacidades individuales.

Los vínculos entre los sucesos de Israel y Albania se han reforzado con los últimos ataques a este último (finales de 2023 y principios de 2024), durante los cuales Void Manticore lanzó particiones wiper similares a las utilizadas en Israel como parte de los ataques BiBi wiper.

Técnicas, tácticas y procedimientos
Las tácticas de Void Manticore son relativamente sencillas, pero eficaces. Suelen utilizar herramientas básicas de acceso público para entrar a las redes objetivo. Una vez dentro, despliegan wipers personalizados para sistemas Windows y Linux, dirigidos a archivos críticos y tablas de particiones para hacer inaccesibles los datos. Además, el grupo lleva a cabo actividades manuales de destrucción de datos, lo que amplifica aún más el impacto de sus ataques.

Los Wipers personalizados para ejecutar sus operaciones destructivas con eficacia
Void Manticore emplea una serie de wipers personalizados para ejecutar sus operaciones destructivas con eficacia. Estos wipers sirven para el borrado selectivo de información crítica y causan daños muy concretos a las aplicaciones, datos de usuario, y la funcionalidad del sistema. Otros se centran en atacar la tabla de particiones del sistema, borrándola para hacer inaccesibles todos los datos del disco, a pesar de permanecer inalterados en el medio de almacenamiento.

“En el panorama en constante evolución de la ciberseguridad, mantenerse alerta y proactivo es clave para defenderse de las amenazas emergentes”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “A medida que Void Manticore y otros ciberdelincuentes continúan adaptándose y evolucionando, la continua colaboración entre los investigadores de ciberseguridad, las entidades gubernamentales y las empresas del sector privado será esencial para contrarrestar los retos que plantean las ciberagresiones patrocinadas por los Estados”.