De acuerdo con un informe aparecido en el sitio web Daily Beast, los  cazatalentos del sitio web VIP Human Solutions tienen una propuesta única para quienes trabajan en puestos de seguridad sensibles en la Resistencia libanesa y el gobierno sirio de Bashar al Assad: Ven a trabajar para nosotros en "Israel".

Bajo una imagen de la bandera israelí y un número de contacto con un código israelí, el sitio web de VIP Human Solutions se anuncia como el "centro VIP para el reclutamiento de los más distinguidos en los servicios militares y de seguridad de Siria y de la Resistencia libanesa", que "se especializa en la investigación y las consultorías en los estudios de seguridad y ciencias políticas en todos los rincones del mundo".

Para quienes tengan la experiencia adecuada, señala Daily Beast, los cazatalentos de Human Solutions prometen contrataciones rápidas y grandes salarios.

El sitio web de VIP Human Solutions es uno de los 16 sitios de este tipo que utilizan el mismo tono, fraseo, logotipos, números de teléfono y, para algunos, infraestructura web durante los últimos cuatro años para atraer a antiguos espías y soldados de Irán, Siria y la Resistencia libanesa para que vayan a trabajar para "Israel".

Expertos en inteligencia afirman que los burdos y torpes sitios son falsos, sin ninguna conexión plausible con los servicios de espionaje de "Israel". Sin embargo, los sitios web de los falsos reclutadores han perdurado, apareciendo y desapareciendo en una serie de hosts durante el mismo período de cuatro años para dirigirse a los usuarios de Internet en Irán, Siria y Líbano a través de los anuncios de Google.

El Daily Beast no pudo atribuir los sitios de empleo a ningún actor en particular ni determinar su verdadero propósito. Pero al menos un grupo de investigadores de ciberseguridad centrados en Irán dicen que sospechan que los sitios de empleos de inteligencia son parte de un esfuerzo de contrainteligencia dirigido por operadores vinculados a Irán.

Amin Sabeti, experto en ciberseguridad y director del Equipo de Respuesta a Emergencias Informáticas en Farsi (CERTFA), cree que los sitios de empleo son "una trampa de miel del régimen iraní para identificar a los posibles interesados en trabajar con los servicios de inteligencia extranjeros".

Tampoco han pasado inadvertidos en Irán, donde los usuarios de las redes sociales "han expresado su enfado y confusión por ser objeto de reclutamiento mediante anuncios de Google que supuestamente proceden de uno de los adversarios de Teherán".

The Daily Beast descubrió los sitios como parte de una investigación sobre una serie de aparentes sitios web de phishing que imitaban a grupos de reflexión y organizaciones de noticias centradas en Oriente Medio y la seguridad nacional.

Estos sitios incluyen dominios destinados a engañar a los usuarios haciéndoles creer que estaban asociados con grupos de reflexión como el Quincy Institute for Responsible Statecraft, el Stimson Center, el Gatestone Institute y el Begin-Sadat Center, con sede en "Israel", y con medios de comunicación como el Jerusalem Post, Business Insider y el Khaleej Times, con sede en los Emiratos Árabes Unidos.

Ni The Daily Beast, ni la empresa de ciberseguridad Mandiant, ni Google o Facebook, donde los sitios tenían cuentas, pudieron identificar quién está detrás de los dominios de phishing. Telegram, que alojaba las cuentas de mensajería de los sitios de empleos falsos, no respondió a las preguntas de The Daily Beast.

Pero los sitios de phishing de think tanks y de noticias comparten al menos algunas similitudes de comportamiento con una campaña de phishing previamente documentada y llevada a cabo por un grupo de hacking vinculado a la inteligencia iraní, según los expertos en ciberseguridad.

Rastro del correo electrónico

The Daily Beast descubrió los dominios y sitios de trabajo de phishing después que Lahav Harkov, corresponsal diplomática del Jerusalem Post, advirtiera a los usuarios de Twitter en diciembre de 2021 que un dominio falso que imitaba el sitio web del periódico israelí estaba enviando correos electrónicos en su nombre. Los correos, compartidos con The Daily Beast por la reportera, utilizaban un inglés tosco para llegar a académicos centrados en Irán e intentaban concertar entrevistas con la falsa reportera del Post sobre temas como "¡Los países del Golfo tienen el deseo de normalizar las relaciones con `Israel´!"

Al examinar una lista de sitios web que utilizaban el mismo patrón algo único de servicios de sitios web comerciales que se encontraba en el sitio falso del Jerusalem Post, The Daily Beast señala que pudo encontrar una serie de falsificaciones de temática similar.

Sólo otros dos sitios web compartían la misma dirección IP que el dominio del falso Jerusalem Post: una falsificación similar del Khaleej Times, un periódico de los Emiratos Árabes Unidos, y un aparente sitio de inicio de sesión falso para Google Drive.

El proveedor de correo electrónico del falso Jerusalem Post, la empresa que registró el nombre de dominio del sitio y el proveedor de su servidor de nombres -utilizado para resolver el nombre del sitio a una dirección IP- eran todas empresas comerciales populares. Miles de sitios web legítimos utilizan los servicios de cada una de estas empresas, pero una búsqueda en la base de datos de ciberseguridad IRIS de DomainTools mostró que sólo 68 sitios web utilizan actualmente la misma combinación de los servicios de esas tres empresas.

Related News

Irán denunció a "Israel" tras admitir el martirio de Ismail Haniyeh

Irán suspende vuelos comerciales a Siria hasta finales de enero

Dentro de ese conjunto de 68 sitios, la gran mayoría son legítimos, pero un puñado -todos alojados por una empresa búlgara de alojamiento web llamada Belcloud- son sospechosos y potencialmente maliciosos, incluyendo sitios web falsos para grupos de reflexión centrados en Oriente Medio y la seguridad, organizaciones de noticias y el sitio de empleo VIP Human Solutions.

Belcloud tampoco no respondió a las preguntas de The Daily Beast a tiempo para su publicación.

Tres de los sitios web falsos de think tanks -que suplantan a Quincy, Gatestone y el centro Begin-Sadat- están alojados en la misma dirección IP con URL ligeramente mal escritas o con dominios de nivel superior diferentes (por ejemplo, copiando el nombre de un sitio en el dominio .net en lugar de .org).

Otros aparentes dominios de phishing, como un dominio falso de Business Insider creado en julio de 2020, compartieron brevemente la misma dirección IP en Belcloud con el dominio falso del Quincy Institute.

The Daily Beast compartió su investigación con la empresa de ciberseguridad Mandiant. En un comunicado, la empresa dijo que no podía decir quién está detrás de los sitios web de phishing, pero señaló que algunas de las "actividades reflejan tácticas, técnicas y procedimientos que se asocian más estrechamente con el actor de la amenaza UNC788", una designación para una actividad de hacking que se cree que está asociada con el Ministerio de Inteligencia y Seguridad de Irán.

En 2020, los investigadores de ciberseguridad de CERTFA descubrieron un intento por parte de lo que concluyeron que eran hackers vinculados al Ministerio de Inteligencia y Seguridad que "se dirigieron a periodistas y activistas políticos y de derechos humanos" con un argumento similar para concertar una entrevista enviada por el falso reportero del Post, Harkov. Los investigadores de CERTFA descubrieron que los hackers utilizaban el argumento de la entrevista para crear confianza con el objetivo antes de enviar una página de inicio de sesión de Google falsa con el fin de engañar a los destinatarios para que revelaran sus contraseñas.

Al igual que los sitios falsos de think tank y de noticias descubiertos por The Daily Beast, los sitios que CERTFA encontró en 2020 también estaban alojados en Belcloud. Uno de los dominios de phishing encontrados por CERTFA en Belcloud y vinculado a la inteligencia iraní -un sitio falso de inicio de sesión en Google Drive- estuvo alojado recientemente en la misma dirección IP que los sitios falsos del Jerusalem Post y el Khaleej Times, aunque The Daily Beast no pudo determinar si el sitio sigue siendo operado por los mismos propietarios que lo administraban cuando los investigadores lo vincularon a Irán.

Aunque ni The Daily Beast ni Mandiant pudieron atribuir los sitios a ningún individuo, grupo o país, Sabeti dice estar personalmente convencido de que es obra de "Charming Kitten", el apodo del grupo de piratas informáticos vinculado a Irán conocido por atacar a funcionarios occidentales, periodistas, disidentes y activistas de derechos humanos, y cree que los dominios muestran que el grupo "ha aumentado el alcance de su objetivo y sus operaciones en los últimos meses."

¿Cazadores de cabezas?

El sitio de VIP Human Solutions, aunque no está alojado en Belcloud, utiliza el mismo patrón de elección de consumidores de infraestructura que los dominios de phishing. Y desde 2018, al menos 16 sitios web de empleos notablemente similares han utilizado el mismo logotipo y el mismo lenguaje de lanzamiento para tratar de reclutar a ex espías y personal militar en Irán, Siria y la Resistencia libanesa para lo que pretende ser una empresa de "consultoría" israelí.

No está claro si todos los sitios son operados por la misma entidad, pero varios de ellos comparten la misma cuenta de Google Analytics (utilizada para monitorear el tráfico web) y algunos de los sitios enumeran el mismo número de teléfono con sede en "Israel" y cuentas de Telegram para que los solicitantes se comuniquen con ellos.

La primera iteración de un sitio web con la marca VIP Human Solutions apareció en 2018 y vino con una página de Facebook asociada y una cuenta de YouTube que anunciaba los trabajos de "consultoría" altamente remunerados a exveteranos de la inteligencia, la seguridad y la ciberseguridad iraníes. Después que The Daily Beast compartiera su hallazgo con Facebook, la compañía eliminó la página a la espera de verificar la identidad, pero no pudo atribuirla a ningún actor en particular.

No está claro cuál es el propósito de las páginas web, pero los expertos en inteligencia se muestran escépticos de que los servicios de inteligencia de "Israel" tengan algo que ver con ellas, dada su amplitud, indiscreción y amateurismo.

Douglas London, veterano de 34 años del servicio clandestino de la CIA y autor de The Recruiter, unas memorias recientes sobre su carrera en el espionaje y en Oriente Medio, dijo a The Daily Beast que es poco probable que el sitio esté dirigido por la inteligencia israelí.

"A primera vista, dudo que esto sea obra de un servicio de inteligencia sofisticado, y mucho menos de 'Israel'. No tienen por qué hacer esto", dijo London.

"En la era de Internet, donde tienes LinkedIn o Indeed.com, cualquier servicio sofisticado tiene acceso a eso, ya sea directa o indirectamente. Un objetivo potencial probablemente ya tiene su currículum por ahí y los servicios de inteligencia pueden utilizar los ordenadores para cribarlo".

London también señaló que las flagrantes asociaciones israelíes anunciadas en los sitios contrastan con la información pública sobre cómo los servicios de inteligencia israelíes suelen reclutar agentes en los países árabes e Irán.

"Israel" tiende a utilizar muchas operaciones de reclutamiento de falsa bandera que disfraza el hecho de que los objetivos están trabajando para Tel Aviv. Se hacen pasar por estadounidenses, británicos o canadienses porque es más agradable para los árabes e iraníes trabajar para los estadounidenses".

Lo más extraño de estos sitios es que Irán no los bloquea, dice Sabeti, director de CERTFA. "Muchos sitios web israelíes están bloqueados en Irán, y sería extraño que un sitio web que trata de reclutar agentes de Irán no lo esté".

Las autoridades iraníes han tenido tiempo y oportunidad de sobra para darse cuenta de los sitios y bloquearlos si así lo deseaban. Los usuarios de las redes sociales en Irán han publicado con frecuencia sobre su confusión al encontrar los anuncios de Google para los sitios y Mashregh News, un medio de comunicación iraní cercano a la inteligencia del país y el establecimiento militar, publicó un artículo sobre ellos en diciembre de 2020, que especuló que eran un intento del Mossad para reclutar espías iraníes en aplicaciones de juego y apuestas ilícitas.

Quienquiera que esté detrás de este intento apenas velado, no habla. The Daily Beast se puso en contacto con los sitios a través de formularios de envío, WhatsApp y mensajes de Telegram, pero no recibió respuesta.