Uptime Hamster: 0d 0h 0mDeploy: 5 Jul 2026 10:25Updated: 2026-07-10

Smoke Sandstorm,Cuboid Sandstorm,Yellow Liderc,TA456,APT35,ImperialKitten (Iran)

Fecha
9 Jul 2026
Actor
smoke-sandstorm-cuboid-sa
Tipo
Reference
Pais
Iran
Sector
Software
Confianza
medium
80
Prioridad analitica
Alta

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

6IOCs
0TTPs
smoke-sandstorm-cuboid-saActor
IranPais

Smoke Sandstorm,Cuboid Sandstorm,Yellow Liderc,TA456,APT35,ImperialKitten (Iran)

Que es

ImperialKitten es un actor APT (Advanced Persistent Threat) vinculado al país de Irán, con múltiples aliases y nombres de codificación asociados a actividades de ciberdelincuencia. Este grupo se identifica en fuentes de inteligencia como Smoke Sandstorm, Cuboid Sandstorm, Yellow Liderc, TA456, APT35 y ImperialKitten. Se le atribuyen ataques de tipo infostealer y backdoor, con un enfoque en la extracción de datos sensibles y el uso de herramientas de ciberinfiltración.

Contexto

El grupo ImperialKitten opera como actor APT de alto nivel, con activos en el ámbito cibernético desde 2016. Se le asocia con actividades de espionaje digital y robo de información crítica, especialmente en sectores financieros y gubernamentales. La inteligencia de seguridad informa que este grupo ha sido catalogado como un malware de ciberataque complejo, con una serie de alias técnicos como Poison Frog, Sha.exe, Stereoversioncontrol.exe y Get-logon-history.ps1. No se ha confirmado la fecha exacta de su activación, pero sus actividades están documentadas en fuentes de inteligencia cibernética verificadas.

Análisis

Indicadores de Compromiso (IOCs) identificados desde fuentes OSINT incluyen:

Type Value Contexto
Domain backdoor.syskit C2 (Comandos y Control)
Domain sha.exe Servidor de exfiltración de datos
Domain sha432.exe Herramienta de módulo malicioso
Domain stereoversioncontrol.exe Código malicioso para análisis de sesiones
Domain get-logon-history.ps1 Script PowerShell para extracción de credenciales
File Sha.exe Exploit para ataque de tipo zero-day
File Sha432.exe Carga de módulo malicioso para backdoor
File stereoversioncontrol.exe Herramienta de análisis de sesiones de usuario
File get-logon-history.ps1 Script para robo de credenciales en entornos Windows

Conclusion

El grupo ImperialKitten representa una amenaza significativa debido a su capacidad de operar como actor APT con un enfoque en la extracción de datos críticos y la infección de sistemas. Las actividades del grupo se han asociado con ataques de tipo infostealer y backdoor, utilizando herramientas como Sha.exe y stereoversioncontrol.exe. Se recomienda monitorear redes, implementar actualizaciones de software y utilizar sistemas de detección de amenzas para mitigar el impacto de tales amenazas.

Diamond Model

Adversary
smoke-sandstorm-cuboid-sa
Ver perfil →
Victim
Smoke Sandstorm,Cuboid Sandstorm,Yellow Liderc,TA456,APT35,ImperialKitten (Iran)
Iran
Capability
sha.exe
Herramienta / tecnica observada
Infrastructure
backdoor.syskit
sha.exe
sha432.exe
stereoversioncontrol.exe

Relations

Mapa de nodos relacionados por IOCs compartidos, actor, enlaces IntelTracker/OSINT, campanas y victimas observadas. Haz click en un nodo para abrir el post, filtro o fuente.

1 enlaces

Indicadores de Compromiso (IOCs)

TipoValorContextoOSINT
Type Value Contexto VT OffSec SOCRadar
Domain backdoor.syskit C2 (Comandos y Control) VT OffSec SOCRadar
Domain sha.exe Servidor de exfiltración de datos VT OffSec SOCRadar
Domain sha432.exe Herramienta de módulo malicioso VT OffSec SOCRadar
Domain stereoversioncontrol.exe Código malicioso para análisis de sesiones VT OffSec SOCRadar
Domain get-logon-history.ps1 Script PowerShell para extracción de credenciales VT OffSec SOCRadar

Referencias y enlaces

→ Perfil del actor smoke-sandstorm-cuboid-sa en el blog → Ver smoke-sandstorm-cuboid-sa en IntelTracker → Buscar smoke-sandstorm-cuboid-sa en APTTrail → Repositorio APTTrail → Mas incidentes en Iran → Buscar en Google News → Analizar en VirusTotal → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes