¿Quiénes son Gonjeshke Darande? Los hackers detrás del mayor robo de criptomonedas en Irán

La guerra entre Israel e Irán se trasladó a la blockchain esta semana, después de que un grupo de hackers pro-israelí llamado Gonjeshke Darande explotara el exchange de criptomonedas más grande de Irán, Nobitex, para robar casi 90 millones de dólares.

El grupo posteriormente quemó todos los fondos, enmarcando el hack como un intento políticamente motivado para interrumpir la capacidad de Irán de evadir sanciones a través de criptomonedas. Pero, ¿quiénes son Gonjeshke Darande?

Lo que debes saber sobre «Predatory Sparrow»

Gonjeshke Darande, o Predatory Sparrow, es un grupo de hackers altamente sofisticado y políticamente motivado. Analistas de seguridad y funcionarios gubernamentales creen que tienen fuertes vínculos con Israel. Sus ataques suelen dirigirse a la infraestructura iraní, sistemas financieros y entidades vinculadas al gobierno.

Aunque Israel no ha reclamado oficialmente la responsabilidad de las operaciones de Gonjeshke Darande, las empresas de seguridad y las comunidades de inteligencia en general ven al grupo como afiliado a Israel. Esto se debe a sus objetivos, métodos y mensajes abiertamente políticos.

Significado del nombre “Gonjeshke Darande”

• “Gonjeshke Darande” se traduce literalmente como “Predatory Sparrow” en farsi.
• El término simboliza un pájaro pequeño pero feroz capaz de ataques sorpresivos, una metáfora adecuada para un grupo de hackers que realiza hacks repentinos y dirigidos.
• Su elección de un nombre distintivamente iraní probablemente sirve tanto para burlarse de las defensas de ciberseguridad iraníes como para enviar un mensaje simbólico directamente al régimen iraní.

Historia de hacks vinculados a Gonjeshke Darande

Gonjeshke Darande tiene una historia relativamente breve pero significativa de operaciones cibernéticas impactantes, principalmente contra la infraestructura y los sistemas financieros iraníes:

Junio 2025: Hack al exchange de criptomonedas Nobitex

Como informó BeInCrypto, el grupo hackeó el principal exchange de criptomonedas de Irán, Nobitex.

Los fondos fueron transferidos a monederos de vanidad con mensajes anti-IRGC (Cuerpo de la Guardia Revolucionaria Islámica), haciendo que las criptomonedas sean permanentemente inaccesibles. Además, Nobitex fue sospechoso por Occidente de estar involucrado en lavado de dinero y evasión de sanciones.

Mayo 2025: Hack al Bank Sepah

Poco antes del ataque a Nobitex, Gonjeshke Darande comprometió sistemas en Bank Sepah. Este es un banco iraní de propiedad estatal.

Más notablemente, interrumpieron los servicios bancarios y filtraron datos financieros sensibles en línea. El objetivo era exponer las transacciones financieras del gobierno iraní y perturbar las actividades económicas respaldadas por el estado.

Octubre 2022: Ataques a plantas de acero iraníes

• Gonjeshke Darande previamente ganó atención internacional significativa después de atacar tres grandes fábricas de acero iraníes: Khuzestan Steel Company, Mobarakeh Steel Company y Hormozgan Steel Company.
• Reclamaron responsabilidad públicamente, publicando imágenes que mostraban las plantas de acero en llamas, causando daño físico y económico y vergüenza para Irán.

Julio 2021: Ataque a los ferrocarriles iraníes

• El grupo hackeó los sistemas de información digital de los Ferrocarriles Iraníes, causando retrasos en los trenes, interrupciones y publicando mensajes burlones en los tableros de anuncios en todo el país.
• Este ataque humilló a los funcionarios de ciberseguridad iraníes y demostró la disposición del grupo para atacar infraestructura civil crítica.

Huellas digitales y tácticas

El grupo mantiene un perfil público bajo, pero notablemente publica videos de alta calidad, sitios web y mensajes en línea reclamando responsabilidad. Sus huellas digitales a menudo incluyen:

• Monederos Vanity y Desfiguración: Los atacantes utilizan direcciones de criptomonedas vanity incrustadas con mensajes políticos contra el régimen iraní.
• Redes Sociales y Mensajería en Telegram: Frecuentemente publican anuncios, videos y filtran documentos a través de canales anónimos de Telegram, compartiendo pruebas de operaciones exitosas.
• Lanzamientos de Videos de Calidad Profesional: A diferencia de los típicos grupos de hackers anónimos, Gonjeshke Darande lanza videos editados profesionalmente que muestran los resultados de los ciberataques, insinuando un respaldo financiero sustancial y sofisticación operativa.

Atribución y Enlaces al Gobierno Estatal

La firma de ciberseguridad SentinelOne y grupos de análisis como Check Point Research han sugerido a Israel como el probable patrocinador estatal detrás de Gonjeshke Darande. Sin embargo, Israel no ha confirmado ni negado estas afirmaciones. Irán acusa oficialmente a Israel y a la agencia de inteligencia israelí Mossad de orquestar estos ciberataques.

Pero, nuevamente, no ha habido pruebas tangibles de estas acusaciones. Los investigadores de ciberseguridad esperan continuos hacks de alto impacto contra objetivos iraníes por parte de Gonjeshke Darande, especialmente si las tensiones geopolíticas continúan escalando.

Preocupantemente, los exchanges de criptomonedas y los bancos vinculados al estado iraní siguen siendo objetivos potenciales primarios. Debido a las capacidades avanzadas y recursos del grupo, los analistas de ciberseguridad a nivel mundial monitorean sus actividades de cerca.

En general, si el conflicto actual dura más tiempo, podría tener implicaciones más amplias para la guerra cibernética y los conflictos digitales patrocinados por el estado.