Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Microsoft descubre los ataques cibernéticos globales del subgrupo de Sandworm que abarcan más de 15 países
  • Tecnología

Microsoft descubre los ataques cibernéticos globales del subgrupo de Sandworm que abarcan más de 15 países

teknomers 12 de Şubat de 2025 (Last updated: 12 de Şubat de 2025) 8 minutes read
Microsoft descubre los ataques cibernéticos globales del subgrupo de Sandworm


Un subgrupo dentro del infame grupo de piratería patrocinado por el estado ruso conocido como Gusano de arena se ha atribuido a una operación de acceso inicial de varios años denominado Badpilot que se extendió en todo el mundo.

“Este subgrupo ha realizado compromisos a nivel mundial de infraestructura orientada a Internet para permitir que Seashell Blizzard persista en objetivos de alto valor y admite operaciones de red personalizadas”, el equipo de inteligencia de amenazas de Microsoft dicho En un nuevo informe compartido con The Hacker News antes de la publicación.

La propagación geográfica de los objetivos del subgrupo de acceso inicial incluye toda América del Norte, varios países de Europa, así como otros, incluidos Angola, Argentina, Australia, China, Egipto, India, Kazajstán, Myanmar, Nigeria, Pakistán, Turquía y Uzbekistán.

El desarrollo marca una expansión significativa de la huella de la victimología del grupo de piratería en los últimos tres años, que también se sabe que se concentra en Europa del Este,

  • 2022: Sectores de energía, minorista, educación, consultoría y agricultura en Ucrania
  • 2023: sectores en los Estados Unidos, Europa, Asia Central y Medio Oriente que proporcionaron apoyo material a la guerra en Ucrania o fueron geopolíticamente significativos
  • 2024: Entidades en los Estados Unidos, Canadá, Australia y el Reino Unido

Sandworm es rastreado por Microsoft bajo el apodo Seashell Blizzard (anteriormente Iridium), y por la comunidad de seguridad cibernética más amplia bajo los nombres APT44, Blue Echidna, Tornado FrozenBarents, Tornado gris, Iron Viking, Razing Ursa, Telebots, UaC-0002 y Voodoo Bear. Activo desde al menos 2013, se evalúa que el grupo está afiliado a la Unidad 74455 dentro de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU).

El colectivo adversario ha sido descrito por Mandiant, propiedad de Google, como un actor de amenaza “altamente adaptable” y “operativamente maduro” que se involucra en el espionaje, el ataque e influye en las operaciones. También tiene un historial de ataques disruptivos y destructivos contra Ucrania durante la última década.

Ciberseguridad

Las campañas montadas por Sandworm a raíz de la Guerra Ruso-Ukrainiana han aprovechado los limpiaparabrisas de datos (Killdisk, también conocido como Hermeticwiper), pseudo-ransomware (Prestige, también conocido como Presstea) y Backpaless (Kapeka), además de las familias de malware que permiten a los actores de amenaza a mantener Acceso remoto persistente a hosts infectados a través de Darkcrystal Rat (también conocido como DCRAT).

También se ha observado depender de una variedad de empresas rusas y mercados criminales para obtener y mantener sus capacidades ofensivas, destacando un tendencia creciente de delito cibernético que facilita la piratería respaldada por el estado.

“El grupo ha utilizado herramientas e infraestructura de origen penal como fuente de capacidades desechables que pueden operacionalizarse a corto plazo sin enlaces inmediatos a sus operaciones pasadas”, el Grupo de Inteligencia de Amenazos de Google (GTIG) dicho en un análisis.

“Desde la invasión a gran escala de Rusia de Ucrania, APT44 ha aumentado el uso de tales herramientas, incluido el malware como Darkcrystal Rat (DCRAT), Warzone y Radthief (‘Rhadamanthys Stealer’) e infraestructura de alojamiento a prueba de balas como la que proporciona la proporcionada por el El actor de habla rusa ‘Yalishanda’, que anuncia en comunidades subterráneas cibercriminales “.

Microsoft dijo que el subgrupo de lombrices de arena ha estado operativo desde al menos finales de 2021, explotando varios defectos de seguridad conocidos para obtener acceso inicial, seguido de una serie de acciones posteriores a la explotación destinadas a recopilar credenciales, lograr la ejecución de comandos y apoyar el movimiento lateral.

“Las operaciones observadas después del acceso inicial indican que esta campaña permitió a Seashell Blizzard obtener acceso a objetivos globales en sectores sensibles, incluidos energía, petróleo y gas, telecomunicaciones, envío, fabricación de armas, además de los gobiernos internacionales”, señaló el gigante tecnológico.

“Este subgrupo ha sido habilitado por una capacidad escalable horizontalmente reforzada por hazañas publicadas que permitieron a Seashell Blizzard descubrir y comprometer numerosos sistemas orientados a Internet en una amplia gama de regiones y sectores geográficos”.

Desde principios del año pasado, se dice que el sub-clúster ha armado vulnerabilidades en la pantalla de pantalla conectada (CVE-2024-1709) y Fortinet Forticlient EMS (CVE-2023-48788) para infiltrarse en objetivos en el Reino Unido y los Estados Unidos.

Subgrupo de lombrices de arena

Los ataques llevados a cabo por el subgrupo implican una combinación de ataques oportunistas de “rociar y rezar” e intrusiones específicas que están diseñadas para mantener el acceso indiscriminado y realizar acciones de seguimiento para expandir el acceso a la red u obtener información confidencial.

Se cree que la amplia gama de compromisos ofrece a Seashell Blizzard una forma de cumplir con los objetivos estratégicos en constante evolución de Kremlin, lo que permite que el atuendo de piratería escala horizontalmente sus operaciones en diversos sectores a medida que se revelan los nuevos expectativas.

Hasta la fecha, hasta ocho vulnerabilidades de seguridad conocidas diferentes han sido explotadas por el subgrupo hasta la fecha,

El actor de amenaza que establece la persistencia a través de tres métodos diferentes, lo sucede exitoso.

  • 24 de febrero de 2024 – presente: Despliegue de software de acceso remoto legítimo, como Atera Agent y Splashtop Remote Services, en algunos casos que abusan del acceso a descargar cargas útiles adicionales para la adquisición de credenciales, la exfiltración de datos y otras herramientas para mantener el acceso como OpenSSH y una utilidad a medida doblada SHADOWNINK Se puede acceder al sistema a través de la red de anonimato
  • Finales de 2021 – presente: Despliegue de un shell web llamado localolive que permite comando y control y sirve como conducto para más cargas útiles, como utilidades de túneles (por ejemplo, cincel, plink y rsockstun)
  • Finales de 2021 – 2024: Modificaciones maliciosas a las páginas de inicio de sesión de Acceso web de Outlook (OWA) para inyectar el código de JavaScript que pueda cosechar y exfiltrar las credenciales al actor de amenazas en tiempo real, y alterar las configuraciones de registro A del DNS probablemente en un esfuerzo por interceptar las credenciales de la autenticación crítica servicios

“Este subgrupo, que se caracteriza dentro de la organización de Blizzard más amplia conhellhell por su alcance casi global, representa una expansión tanto en la orientación geográfica realizada por Seashell Blizzard como en el alcance de sus operaciones”, dijo Microsoft.

Ciberseguridad

“Al mismo tiempo, los métodos de acceso oportunistas y de largo alcance de Seashell Blizzard probablemente ofrecen oportunidades expansivas de Rusia para operaciones y actividades de nicho que continuarán siendo valiosos a mediano plazo”.

El desarrollo se produce cuando la empresa holandesa de ciberseguridad ECLECTICIQ vinculó el grupo de lombrices de arena con otra campaña que aprovecha los activadores pirateados de Microsoft Key Management Service (KMS) y las actualizaciones falsas de Windows para ofrecer una nueva versión de BackerDer, un descargador basado en Go que es responsable de obtener y ejecutar un carga útil de la segunda etapa desde un servidor remoto.

La orden de fondo, según Mandiant, generalmente se entrega dentro de los archivos del instalador troyano y está codificado para ejecutar el ejecutable de configuración original. El objetivo final de la campaña es entregar Rata oscura.

Subgrupo de lombrices de arena

“La gran dependencia de Ucrania en el software agrietado, incluso en las instituciones gubernamentales, crea una superficie de ataque importante”, la investigadora de seguridad Arda Büyükkaya dicho. “Muchos usuarios, incluidas las empresas y las entidades críticas, han recurrido al software pirateado de fuentes no confiables, lo que brinda a adversarios como Sandworm (APT44) una mejor oportunidad para incrustar malware en programas ampliamente utilizados”.

El análisis de infraestructura adicional ha descubierto un rdp trasero RDP con nombre en código Kalambur que está disfrazado de actualización de Windows, y que utiliza la red TOR para comando y control, así como para implementar OpenSSH y habilitar el acceso remoto a través del protocolo de escritorio remoto (RDP) en el puerto 3389.

“Al aprovechar el software troyanizado para infiltrarse en entornos ICS, Sandworm (APT44) continúa demostrando su objetivo estratégico de desestabilizar la infraestructura crítica de Ucrania en apoyo de las ambiciones geopolíticas rusas”, dijo Büyükkaya.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: René Mioch ya no está cerca de Carice Van Houten: “¡Jemig, no!”
Next: ¡Nueva transferencia de Galatasaray a Eren Elmalı Video especial!

Related Stories

¡Sorpresa! Netflix busca relanzar las pruebas gratuitas
  • Tecnología

¡Sorpresa! Netflix busca relanzar las pruebas gratuitas

teknomers 9 de Temmuz de 2026
Pass Ulys Classic, telepeaje con 12 meses gratis este verano
  • Tecnología

Pass Ulys Classic, telepeaje con 12 meses gratis este verano

teknomers 9 de Temmuz de 2026
Fin del físico: por qué la ira de los jugadores
  • Tecnología

Fin del físico: por qué la ira de los jugadores no hará temblar a Sony

teknomers 9 de Temmuz de 2026

You May Have Missed

  • Deporte

Super Liga: York Knights 20-16 Hull FC

teknomers 9 de Temmuz de 2026
  • Finanzas

La justicia francesa prohíbe provisionalmente a Shein comercializar imitaciones de Lacoste en la Unión Europea.

teknomers 9 de Temmuz de 2026
Francia-Marruecos: ¿por qué Kylian Mbappé tuvo que esperar tanto antes
  • Deporte

Francia-Marruecos: ¿por qué Kylian Mbappé tuvo que esperar tanto antes de ejecutar su penalti?

teknomers 9 de Temmuz de 2026
  • Cultura

« Dix pour cent, le film », « Changer l’eau des fleurs »: el festival de cine de Angoulême revela su programación

teknomers 9 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.