{"id":1577059,"date":"2025-02-12T18:13:07","date_gmt":"2025-02-12T18:13:07","guid":{"rendered":"https:\/\/teknomers.com\/es\/microsoft-descubre-los-ataques-ciberneticos-globales-del-subgrupo-de-sandworm-que-abarcan-mas-de-15-paises\/"},"modified":"2025-02-12T18:13:12","modified_gmt":"2025-02-12T18:13:12","slug":"microsoft-descubre-los-ataques-ciberneticos-globales-del-subgrupo-de-sandworm-que-abarcan-mas-de-15-paises","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/microsoft-descubre-los-ataques-ciberneticos-globales-del-subgrupo-de-sandworm-que-abarcan-mas-de-15-paises\/","title":{"rendered":"Microsoft descubre los ataques cibern\u00e9ticos globales del subgrupo de Sandworm que abarcan m\u00e1s de 15 pa\u00edses"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Microsoft-descubre-los-ataques-ciberneticos-globales-del-subgrupo-de-Sandworm.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Un subgrupo dentro del infame grupo de pirater\u00eda patrocinado por el estado ruso conocido como <strong>Gusano de arena<\/strong> se ha atribuido a una operaci\u00f3n de acceso inicial de varios a\u00f1os denominado Badpilot que se extendi\u00f3 en todo el mundo.<\/p>\n<p>&#8220;Este subgrupo ha realizado compromisos a nivel mundial de infraestructura orientada a Internet para permitir que Seashell Blizzard persista en objetivos de alto valor y admite operaciones de red personalizadas&#8221;, el equipo de inteligencia de amenazas de Microsoft <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/02\/12\/the-badpilot-campaign-seashell-blizzard-subgroup-conducts-multiyear-global-access-operation\/\" target=\"_blank\">dicho<\/a> En un nuevo informe compartido con The Hacker News antes de la publicaci\u00f3n.<\/p>\n<p>La propagaci\u00f3n geogr\u00e1fica de los objetivos del subgrupo de acceso inicial incluye toda Am\u00e9rica del Norte, varios pa\u00edses de Europa, as\u00ed como otros, incluidos Angola, Argentina, Australia, China, Egipto, India, Kazajst\u00e1n, Myanmar, Nigeria, Pakist\u00e1n, Turqu\u00eda y Uzbekist\u00e1n.<\/p>\n<p>El desarrollo marca una expansi\u00f3n significativa de la huella de la victimolog\u00eda del grupo de pirater\u00eda en los \u00faltimos tres a\u00f1os, que tambi\u00e9n se sabe que se concentra en Europa del Este,<\/p>\n<ul>\n<li>2022: Sectores de energ\u00eda, minorista, educaci\u00f3n, consultor\u00eda y agricultura en Ucrania<\/li>\n<li>2023: sectores en los Estados Unidos, Europa, Asia Central y Medio Oriente que proporcionaron apoyo material a la guerra en Ucrania o fueron geopol\u00edticamente significativos<\/li>\n<li>2024: Entidades en los Estados Unidos, Canad\u00e1, Australia y el Reino Unido<\/li>\n<\/ul>\n<p>Sandworm es rastreado por Microsoft bajo el apodo Seashell Blizzard (anteriormente Iridium), y por la comunidad de seguridad cibern\u00e9tica m\u00e1s amplia bajo los nombres APT44, Blue Echidna, Tornado FrozenBarents, Tornado gris, Iron Viking, Razing Ursa, Telebots, UaC-0002 y Voodoo Bear. Activo desde al menos 2013, se eval\u00faa que el grupo est\u00e1 afiliado a la Unidad 74455 dentro de la Direcci\u00f3n Principal del Estado Mayor de las Fuerzas Armadas de la Federaci\u00f3n Rusa (GRU).<\/p>\n<p>El colectivo adversario ha sido descrito por Mandiant, propiedad de Google, como un actor de amenaza &#8220;altamente adaptable&#8221; y &#8220;operativamente maduro&#8221; que se involucra en el espionaje, el ataque e influye en las operaciones. Tambi\u00e9n tiene un historial de ataques disruptivos y destructivos contra Ucrania durante la \u00faltima d\u00e9cada.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Las campa\u00f1as montadas por Sandworm a ra\u00edz de la Guerra Ruso-Ukrainiana han aprovechado los limpiaparabrisas de datos (Killdisk, tambi\u00e9n conocido como Hermeticwiper), pseudo-ransomware (Prestige, tambi\u00e9n conocido como Presstea) y Backpaless (Kapeka), adem\u00e1s de las familias de malware que permiten a los actores de amenaza a mantener Acceso remoto persistente a hosts infectados a trav\u00e9s de Darkcrystal Rat (tambi\u00e9n conocido como DCRAT).<\/p>\n<p>Tambi\u00e9n se ha observado depender de una variedad de empresas rusas y mercados criminales para obtener y mantener sus capacidades ofensivas, destacando un <a rel=\"noopener nofollow\" href=\"https:\/\/www.trellix.com\/blogs\/research\/blurring-the-lines-how-nation-states-and-cybercriminals-are-becoming-alike\/\" target=\"_blank\">tendencia creciente<\/a> de delito cibern\u00e9tico que facilita la pirater\u00eda respaldada por el estado.<\/p>\n<p>&#8220;El grupo ha utilizado herramientas e infraestructura de origen penal como fuente de capacidades desechables que pueden operacionalizarse a corto plazo sin enlaces inmediatos a sus operaciones pasadas&#8221;, el Grupo de Inteligencia de Amenazos de Google (GTIG) <a rel=\"noopener nofollow\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/cybercrime-multifaceted-national-security-threat\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis.<\/p>\n<p>&#8220;Desde la invasi\u00f3n a gran escala de Rusia de Ucrania, APT44 ha aumentado el uso de tales herramientas, incluido el malware como Darkcrystal Rat (DCRAT), Warzone y Radthief (&#8216;Rhadamanthys Stealer&#8217;) e infraestructura de alojamiento a prueba de balas como la que proporciona la proporcionada por el El actor de habla rusa &#8216;Yalishanda&#8217;, que anuncia en comunidades subterr\u00e1neas cibercriminales &#8220;.<\/p>\n<p>Microsoft dijo que el subgrupo de lombrices de arena ha estado operativo desde al menos finales de 2021, explotando varios defectos de seguridad conocidos para obtener acceso inicial, seguido de una serie de acciones posteriores a la explotaci\u00f3n destinadas a recopilar credenciales, lograr la ejecuci\u00f3n de comandos y apoyar el movimiento lateral.<\/p>\n<p>&#8220;Las operaciones observadas despu\u00e9s del acceso inicial indican que esta campa\u00f1a permiti\u00f3 a Seashell Blizzard obtener acceso a objetivos globales en sectores sensibles, incluidos energ\u00eda, petr\u00f3leo y gas, telecomunicaciones, env\u00edo, fabricaci\u00f3n de armas, adem\u00e1s de los gobiernos internacionales&#8221;, se\u00f1al\u00f3 el gigante tecnol\u00f3gico.<\/p>\n<p>&#8220;Este subgrupo ha sido habilitado por una capacidad escalable horizontalmente reforzada por haza\u00f1as publicadas que permitieron a Seashell Blizzard descubrir y comprometer numerosos sistemas orientados a Internet en una amplia gama de regiones y sectores geogr\u00e1ficos&#8221;.<\/p>\n<p>Desde principios del a\u00f1o pasado, se dice que el sub-cl\u00faster ha armado vulnerabilidades en la pantalla de pantalla conectada (CVE-2024-1709) y Fortinet Forticlient EMS (CVE-2023-48788) para infiltrarse en objetivos en el Reino Unido y los Estados Unidos.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Microsoft-descubre-los-ataques-ciberneticos-globales-del-subgrupo-de-Sandworm.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Microsoft-descubre-los-ataques-ciberneticos-globales-del-subgrupo-de-Sandworm.jpg\" alt=\"Subgrupo de lombrices de arena\" border=\"0\" data-original-height=\"1072\" data-original-width=\"1642\" title=\"Subgrupo de lombrices de arena\"\/><\/a><\/div>\n<p>Los ataques llevados a cabo por el subgrupo implican una combinaci\u00f3n de ataques oportunistas de &#8220;rociar y rezar&#8221; e intrusiones espec\u00edficas que est\u00e1n dise\u00f1adas para mantener el acceso indiscriminado y realizar acciones de seguimiento para expandir el acceso a la red u obtener informaci\u00f3n confidencial.<\/p>\n<p>Se cree que la amplia gama de compromisos ofrece a Seashell Blizzard una forma de cumplir con los objetivos estrat\u00e9gicos en constante evoluci\u00f3n de Kremlin, lo que permite que el atuendo de pirater\u00eda escala horizontalmente sus operaciones en diversos sectores a medida que se revelan los nuevos expectativas.<\/p>\n<p>Hasta la fecha, hasta ocho vulnerabilidades de seguridad conocidas diferentes han sido explotadas por el subgrupo hasta la fecha, <\/p>\n<p>El actor de amenaza que establece la persistencia a trav\u00e9s de tres m\u00e9todos diferentes, lo sucede exitoso.<\/p>\n<ul>\n<li><strong>24 de febrero de 2024 &#8211; presente:<\/strong> Despliegue de software de acceso remoto leg\u00edtimo, como Atera Agent y Splashtop Remote Services, en algunos casos que abusan del acceso a descargar cargas \u00fatiles adicionales para la adquisici\u00f3n de credenciales, la exfiltraci\u00f3n de datos y otras herramientas para mantener el acceso como OpenSSH y una utilidad a medida doblada SHADOWNINK Se puede acceder al sistema a trav\u00e9s de la red de anonimato<\/li>\n<li><strong>Finales de 2021 &#8211; presente:<\/strong> Despliegue de un shell web llamado localolive que permite comando y control y sirve como conducto para m\u00e1s cargas \u00fatiles, como utilidades de t\u00faneles (por ejemplo, cincel, plink y rsockstun)<\/li>\n<li><strong>Finales de 2021 &#8211; 2024:<\/strong> Modificaciones maliciosas a las p\u00e1ginas de inicio de sesi\u00f3n de Acceso web de Outlook (OWA) para inyectar el c\u00f3digo de JavaScript que pueda cosechar y exfiltrar las credenciales al actor de amenazas en tiempo real, y alterar las configuraciones de registro A del DNS probablemente en un esfuerzo por interceptar las credenciales de la autenticaci\u00f3n cr\u00edtica servicios<\/li>\n<\/ul>\n<p>&#8220;Este subgrupo, que se caracteriza dentro de la organizaci\u00f3n de Blizzard m\u00e1s amplia conhellhell por su alcance casi global, representa una expansi\u00f3n tanto en la orientaci\u00f3n geogr\u00e1fica realizada por Seashell Blizzard como en el alcance de sus operaciones&#8221;, dijo Microsoft.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738386538_999_La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Al mismo tiempo, los m\u00e9todos de acceso oportunistas y de largo alcance de Seashell Blizzard probablemente ofrecen oportunidades expansivas de Rusia para operaciones y actividades de nicho que continuar\u00e1n siendo valiosos a mediano plazo&#8221;.<\/p>\n<p>El desarrollo se produce cuando la empresa holandesa de ciberseguridad ECLECTICIQ vincul\u00f3 el grupo de lombrices de arena con otra campa\u00f1a que aprovecha los activadores pirateados de Microsoft Key Management Service (KMS) y las actualizaciones falsas de Windows para ofrecer una nueva versi\u00f3n de BackerDer, un descargador basado en Go que es responsable de obtener y ejecutar un carga \u00fatil de la segunda etapa desde un servidor remoto.<\/p>\n<p>La orden de fondo, seg\u00fan Mandiant, generalmente se entrega dentro de los archivos del instalador troyano y est\u00e1 codificado para ejecutar el ejecutable de configuraci\u00f3n original. El objetivo final de la campa\u00f1a es <a rel=\"noopener nofollow\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/ukraine-targeted-by-dark-crystal-rat\" target=\"_blank\">entregar<\/a> <a rel=\"noopener nofollow\" href=\"https:\/\/cert.gov.ua\/article\/4279195\" target=\"_blank\">Rata oscura<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1739383987_244_Microsoft-descubre-los-ataques-ciberneticos-globales-del-subgrupo-de-Sandworm.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1739383987_244_Microsoft-descubre-los-ataques-ciberneticos-globales-del-subgrupo-de-Sandworm.png\" alt=\"Subgrupo de lombrices de arena\" border=\"0\" data-original-height=\"1308\" data-original-width=\"2723\" title=\"Subgrupo de lombrices de arena\"\/><\/a><\/div>\n<p>&#8220;La gran dependencia de Ucrania en el software agrietado, incluso en las instituciones gubernamentales, crea una superficie de ataque importante&#8221;, la investigadora de seguridad Arda B\u00fcy\u00fckkaya <a rel=\"noopener nofollow\" href=\"https:\/\/blog.eclecticiq.com\/sandworm-apt-targets-ukrainian-users-with-trojanized-microsoft-kms-activation-tools-in-cyber-espionage-campaigns\" target=\"_blank\">dicho<\/a>. &#8220;Muchos usuarios, incluidas las empresas y las entidades cr\u00edticas, han recurrido al software pirateado de fuentes no confiables, lo que brinda a adversarios como Sandworm (APT44) una mejor oportunidad para incrustar malware en programas ampliamente utilizados&#8221;.<\/p>\n<p>El an\u00e1lisis de infraestructura adicional ha descubierto un rdp trasero RDP con nombre en c\u00f3digo Kalambur que est\u00e1 disfrazado de actualizaci\u00f3n de Windows, y que utiliza la red TOR para comando y control, as\u00ed como para implementar OpenSSH y habilitar el acceso remoto a trav\u00e9s del protocolo de escritorio remoto (RDP) en el puerto 3389.<\/p>\n<p>&#8220;Al aprovechar el software troyanizado para infiltrarse en entornos ICS, Sandworm (APT44) contin\u00faa demostrando su objetivo estrat\u00e9gico de desestabilizar la infraestructura cr\u00edtica de Ucrania en apoyo de las ambiciones geopol\u00edticas rusas&#8221;, dijo B\u00fcy\u00fckkaya.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/microsoft-uncovers-sandworm-subgroups.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un subgrupo dentro del infame grupo de pirater\u00eda patrocinado por el estado ruso conocido como Gusano de arena<\/p>\n","protected":false},"author":1,"featured_media":1577060,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[100510,4657,4656,2346,4661,6634,4664,38,439,20815,273784,36,273783,16,7983,4654,273782,4659,4653,4655,651,40603,246983,4665,246984,158687,455,4660],"class_list":["post-1577059","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-abarcan","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-ciberneticos","tag-como-hackear","tag-del","tag-descubre","tag-globales","tag-las-noticias-del-hacker","tag-los","tag-malware-de-ransomware","tag-mas","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-paises","tag-sandworm","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-subgrupo","tag-violacion","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1577059","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1577059"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1577059\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1577060"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1577059"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1577059"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1577059"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}