(CNN) — Un virus cibernético ha estado espiando durante meses a gente involucrada con el gobierno y con industrias estratégicas, principalmente en Irán, pero también en Israel y otros países de Medio Oriente, según informaron dos empresas de seguridad cibernética, las cuales cooperaron para averiguar el origen de esta campaña.
El virus, un troyano con un diseño de apariencia amateur, contiene líneas en lengua farsi o persa, el idioma principal hablado en Irán, informaron Seculert y Kaspersky en un boletín publicado esta semana. Se comunica a través de servidores de ‘comando y control’, los cuales también tienen códigos en farsi y fechas del calendario persa, dijeron.
“Los atacantes sin duda hablan fluidamente el idioma”, dijo Aviv Raff, director de Tecnología de Seculert.
El malware tiene un componente denominado en honor al mesías chiita ‘Mahdi’, y una versión anterior del malware envió hacia un servidor en Teherán información robada de las computadoras de las víctimas.
Pero ninguna de las dos empresas de seguridad cibernética ha podido señalar a un gobierno como culpable.
“Aún no queda claro si se trata de un ataque patrocinado por algún gobierno o no”, según informó Seculert, que tiene sus oficinas principales en Israel. El malware ha funcionado a través de cuatro diferentes servidores de ‘comando y control’ durante los últimos ocho meses, incluyendo uno en Canadá, informó la empresa.
Los socios han “identificado a más de 800 víctimas, principalmente gente de negocios que trabaja en proyectos de infraestructura crítica en Irán e Israel; instituciones financieras israelíes; estudiantes de ingeniería de Medio Oriente y varias agencias gubernamentales en Medio Oriente”, informó Kaspersky, con sede en Moscú.
Para el componente Mahdi, Seculert informó en su blog que existían 387 víctimas en Irán, 54 en Israel y un menor número en otros países. La campaña de espionaje sigue activa, informó.
Seculert descubrió el virus por primera vez en un correo electrónico sospechoso que contenía adjunto un falso documento de Word. Al hacer clic en el archivo se liberaba un ‘instalador de malware’, lo cual iniciaba la infección viral.
Al mismo tiempo, y para engañar al usuario para que pensara que el archivo infectado era legítimo, abría un documento real llamado mahdi.txt. “El contenido del documento era un artículo que hablaba sobre la guerra cibernética entre Irán e Israel”, informó Seculert.
El virus y la tecnología utilizadas para ejecutar esta campaña de espionaje no son nada sofisticados, pero han funcionado lo suficientemente bien como para robar “múltiples gigabites de información” de “víctimas importantes”, según Kaspersky.
Los esfuerzos para localizar a las autoridades iraníes para que comentaran sobre el tema no han tenido éxito.