En todos los ámbitos complejos de la guerra moderna, los frentes de batalla digitales se mueven con una velocidad y agresividad sin precedentes. La división de inteligencia de amenazas de Check Point Software Technologies (Check Point Research – CPR) acaba de publicar un informe revelador que expone las operaciones de Nimbus Manticore, un grupo cibercriminal de élite respaldado por el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC).
El informe detalla el despliegue de una agresiva campaña internacional de ciberespionaje y sabotaje digital. Los atacantes utilizaron sofisticados honeypots corporativos para hacerse pasar por organizaciones de aviación, software y energía en Estados Unidos, Europa y Medio Oriente.
La investigación de CPR analiza las prácticas del grupo y revela tres ideas clave que están cambiando las reglas de la ciberseguridad global:
1. Desarrollo de malware acelerado por la inteligencia artificial
Por primera vez en la historia de la guerra cibernética global, ha surgido evidencia técnica concluyente de que un grupo estatal de Amenazas Persistentes Avanzadas (APT) utilizó herramientas de inteligencia artificial y modelos de lenguaje grande (LLM) para codificar malware en medio de un conflicto armado.
Al analizar el código fuente de los virus utilizados, los ingenieros de Check Point descubrieron patrones inconfundibles de soporte de IA:
Una estructura de código inusualmente modular y limpia. Un sistema de manejo de errores excesivo y redundante. Nombres de funciones excesivamente largos y descriptivos, propios de algoritmos de generación de texto.
El uso de IA les permitió actuar a una velocidad asombrosa, diseñando, probando e implementando código malicioso en un tiempo récord para mantener el ritmo operativo bajo la presión del conflicto.
2. Envenenamiento SEO: una trampa invisible para los desarrolladores
Más allá de los tradicionales ataques de phishing (correos electrónicos dirigidos con ofertas de trabajo falsas diseñadas para engañar a los empleados de la aviación), Nimbus Manticore ha implementado una táctica masiva e invisible: el envenenamiento de SEO.
Los piratas informáticos diseñaron un sitio web idéntico a la interfaz de descarga oficial de la popular herramienta de base de datos SQL Developer. Utilizando técnicas avanzadas de optimización de motores de búsqueda, lograron colocar este portal fraudulento en los primeros puestos de los resultados de búsqueda en plataformas como Bing y DuckDuckGo.
Con esta maniobra, cualquier programador o ingeniero de sistemas que buscaba software legítimo acababa descargando una puerta trasera que comprometía las redes de su empresa. Esta estrategia amplió drásticamente el alcance de la amenaza y convirtió a los usuarios comunes en vectores de contagio corporativo.
3. Tres oleadas de implacable ofensiva digital
Si bien los informes de agencias de prensa internacionales reflejaron un ataque uniforme y aislado, Check Point Research logró identificar tres oleadas de ataques claramente diferenciadas entre los meses de febrero y abril de 2026 como parte de su seguimiento continuo:
Fase preparatoria: Infiltración silenciosa antes del estallido del conflicto. Operaciones Activas: Uso de ataques de negacionista y espionaje durante la fase militar denominada Operación Furia Épica. Ofensiva posterior al alto el fuego: una ola de represalias digitales que demostró que el grupo nunca cesó sus actividades operativas a pesar de los acuerdos diplomáticos en el mundo físico. El conflicto como acelerador tecnológico
«Lo que destaca de nuestra investigación es que las ambiciones de este grupo iban mucho más allá del espionaje selectivo en Oriente Medio». Encontramos pruebas sólidas de que Nimbus Manticore estaba utilizando herramientas de inteligencia artificial para desarrollar malware más rápidamente. “Crearon e implementaron una nueva puerta trasera en medio del conflicto, mientras se llevaban a cabo operaciones militares”, advirtió Sergey Shykevich, gerente del Threat Intelligence Group de Check Point Research.
Por último, el directivo señaló el peligro de la nueva estrategia de ventas: «La tercera ola siguió una estrategia completamente diferente: el envenenamiento del SEO». Colocaron la descarga falsa de SQL Developer en la parte superior de Bing y DuckDuckGo; No hay trucos específicos, solo esperar a que un desarrollador busque una herramienta común. «El conflicto no lo frenó, sino que lo aceleró».
