Nuevo gusano informático 'CanisterWorm' ataca sistemas en Irán con ataques de limpieza de datos

Un nuevo gusano informático borra datos en sistemas vinculados a Irán

Un grupo de ciberdelincuentes con motivaciones financieras, identificado como TeamPCP, ha lanzado una campaña de ciberataques contra Irán utilizando un gusano informático llamado CanisterWorm. Este malware se propaga a través de servicios en la nube mal configurados y elimina datos en sistemas que utilicen la zona horaria de Irán o tengan el farsi como idioma predeterminado.

Según expertos en ciberseguridad, la campaña de limpieza de datos (wiper) se desplegó durante el pasado fin de semana. TeamPCP, un grupo relativamente nuevo en el ámbito del cibercrimen, comenzó sus operaciones en diciembre de 2025, comprometiendo entornos corporativos en la nube mediante un gusano auto-propagable que explotaba vulnerabilidades en APIs expuestas de Docker, clústeres de Kubernetes, servidores Redis y la vulnerabilidad React2Shell.

Estrategia de ataque: automatización y explotación de infraestructuras en la nube

En un informe publicado en enero, la firma de seguridad Flare destacó que TeamPCP no depende de exploits novedosos ni de malware original, sino de la automatización a gran escala y la integración de técnicas de ataque conocidas. El grupo se centra en infraestructuras en la nube, especialmente en servidores de Azure (61%) y AWS (36%), que representan el 97% de los sistemas comprometidos.

«La fuerza de TeamPCP no reside en la originalidad de sus ataques, sino en la industrialización de vulnerabilidades existentes, configuraciones incorrectas y herramientas recicladas para crear una plataforma de explotación nativa en la nube», explicó Assaf Morag, analista de Flare. «Convierte la infraestructura expuesta en un ecosistema criminal auto-propagable».

Ataque a la cadena de suministro: vulnerabilidad en Trivy

El 19 de marzo, TeamPCP ejecutó un ataque a la cadena de suministro contra Trivy, el escáner de vulnerabilidades de Aqua Security. Los atacantes inyectaron malware para robar credenciales en las versiones oficiales publicadas en GitHub Actions. Aunque Aqua Security eliminó los archivos maliciosos, la firma Wiz advirtió que los atacantes lograron publicar versiones dañinas que extrajeron claves SSH, credenciales en la nube, tokens de Kubernetes y carteras de criptomonedas de los usuarios.

CanisterWorm: un gusano con objetivos geopolíticos

El pasado fin de semana, TeamPCP utilizó la misma infraestructura técnica del ataque a Trivy para desplegar un nuevo payload malicioso: un wiper que se activa si detecta que el sistema infectado está configurado con la zona horaria de Irán o el idioma farsi. Según Charlie Eriksen, investigador de seguridad de Aikido, si el componente del gusano identifica que la víctima está en Irán y tiene acceso a un clúster de Kubernetes, destruirá los datos en todos los nodos de ese clúster. «Si no es así, simplemente borrará la máquina local», explicó Eriksen.

Aikido ha bautizado la infraestructura de TeamPCP como CanisterWorm debido a que el grupo orquesta sus campañas utilizando canisters de Internet Computer Protocol (ICP). Estos canisters son contratos inteligentes basados en blockchain, inmutables y resistentes a intentos de eliminación. Mientras los operadores sigan pagando las tarifas en criptomonedas para mantenerlos activos, permanecerán accesibles.

Reclamos y alcance de los ataques

Los responsables de TeamPCP han presumido en un grupo de Telegram sobre sus exploits, afirmando haber robado grandes cantidades de datos sensibles de empresas importantes. Aunque el artículo original menciona una empresa no identificada, los detalles adicionales no están disponibles. Este tipo de ataques subraya la creciente sofisticación de los grupos de ciberdelincuencia que combinan técnicas tradicionales con infraestructuras descentralizadas para evadir la detección.

«TeamPCP convierte la infraestructura expuesta en un ecosistema criminal auto-propagable, demostrando que la automatización y la explotación de configuraciones incorrectas pueden ser más efectivas que los exploits sofisticados». — Assaf Morag, analista de Flare

Medidas de protección recomendadas

Ante la creciente amenaza de gusanos como CanisterWorm, los expertos recomiendan:

• Revisar y configurar correctamente los servicios en la nube, especialmente APIs expuestas, clústeres de Kubernetes y servidores Redis.
• Actualizar y parchear regularmente los sistemas para evitar la explotación de vulnerabilidades conocidas como React2Shell.
• Implementar autenticación multifactor (MFA) y gestionar adecuadamente las credenciales para limitar el movimiento lateral en caso de compromiso.
• Monitorizar el tráfico de red y los registros de acceso para detectar actividades sospechosas.
• Utilizar herramientas de escaneo de vulnerabilidades, como Trivy, y asegurarse de descargar versiones verificadas y seguras.