Advertencia de asesoramiento internacional conjunto sobre las tácticas de ingeniería social en evolución y la nueva implementación de ransomware de Dragonforce dirigido a las instalaciones comerciales
Una colaboración de las agencias internacionales de seguridad cibernética emitió un aviso actualizado urgente el 29 de julio de 2025, destacando la amenaza creciente planteada por el grupo cibercriminal de araña disperso, que tiene ataques intensificados contra la infraestructura crítica y los sectores de instalaciones comerciales con tácticas cada vez más sofisticadas y nuevas variantes de Ransomware.
El asesoramiento conjunto, publicado por la agencia federal de la Oficina de Investigación (FBI), la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), la Policía Royal Canadian Montada (RCMP), el Centro de Seguridad Cibernética Australiana de las señales de Australia (ACSC), la Policía Federal Australiana (AFP), el Centro Canadiano de Seguridad Cibernética (CCCS) y el Centro de Seguridad Nacional del Reino Unido (NEKEDOMA NACIOSA (NCSC-UK), NCSCE (NCSC-UK), Centro de Seguridad Nacional (CCCS), y el Centro de Seguridad Nacional del Reino Unido (NEKE (NCSC), NEK-UK (NCSC-UK), Centro de Seguridad Nacional (CCCS) y el Centro de Seguridad Nacional de Reino Unido. Tácticas, técnicas y procedimientos (TTP) obtenidos a través de investigaciones del FBI en junio de 2025.
La araña dispersa, también conocida como UNC3944, Sapter Swine, Oktapus, Octo Tempest, Storm-0875 y Muddled Libra, ha evolucionado significativamente desde que el aviso se publicó originalmente en noviembre de 2023.
El grupo, que consiste principalmente en hablantes nativos de inglés que se cree que operan desde los Estados Unidos, el Reino Unido y Canadá, se ha convertido en una de las operaciones de ingeniería social más sofisticadas dirigidas a grandes empresas.
“Los actores de amenaza de araña dispersas generalmente participan en el robo de datos para la extorsión y también usan varias variantes de ransomware, desplegando recientemente el ransomware de DragonForce junto con sus TTP habituales”, afirma el asesor. “Mientras que algunos TTP siguen siendo consistentes, los actores de amenaza de araña dispersas a menudo cambian de TTP para permanecer sin ser detectados”.
Distribución de técnicas de Mitre ATT & CK empleadas por una araña dispersa en diferentes tácticas
El sello distintivo del grupo sigue siendo sus sofisticadas capacidades de ingeniería social, que se han vuelto cada vez más refinadas. A diferencia de los ciberdelincuentes tradicionales que se plantean a medida que ayudan al personal a los empleados dirigidos a los empleados, Spider Spider ahora ha revertido este enfoque, haciéndose pasar por empleados para convencer a un personal de TI y ayuda a personal de TI y ayuda a proporcionar información confidencial, reajustar contraseñas y transferir los tokens de autenticación multifactor (MFA) a los dispositivos de ataque de atacantes.
Dominios utilizados por SpiderPurposetArgetSname-Sso-Sso (.) Dispersos Comphing para SSO CredentialStArgetSname-ServiceSk (.) Compachando/estafando como IT o HelpDeskTargetSname-Okta (.) COMCREDENTEAL LARGA A DISCURA CampaignStargetSname-HelpDesk (.) Com (nuevo) IT/HelpDesk ImpersonationAkTalogin-TargetCompany (.) Com (nuevo) Phishing para credenciales OKTA/SSO
El grupo emplea múltiples vectores de ataque, incluidos el “bombardeo push” (usuarios abrumadores con notificaciones de MFA hasta que aprueban el acceso), ataques de intercambio de módulos de identidad (SIM) de suscriptores para secuestrar números de teléfono y elaboradas campañas de viscos enriquecidas con información personal recopiladas de las redes sociales, inteligencia de fuente abierta y herramientas de inteligencia de inteligencia comerciales.
Malware utilizado por SpiderDescription / FunctionAvemaria dispersos (WarZone) Troyano de acceso remoto (rata); Permite el acceso remoto a Victim SystemsRaccoon Stealerstealer Malware; Se dirige a las credenciales, cookies, el navegador HistoryVidar Stealerstealer malware; credenciales, datos del navegador, cookiesRattyrat (nuevo, a julio de 2025) rata basada en Java; El ransomware (nuevo) persistente y sigiloso de Ransomware (Nuevo) Cifra/Sistemas (incluido ESXi); extorsión de datos
Infraestructura ESXI bajo asedio
Lo más preocupante es el reciente enfoque de Spider en los hipervisores ESXI VMware, que sirven como infraestructura crítica para entornos virtualizados.
Según el consultivoSe ha observado que el grupo encriptaba los servidores ESXI VMware utilizando ransomware DragonForce, una táctica que les permite paralizar infraestructuras virtuales de máquina virtual con un esfuerzo mínimo.
Los ataques del grupo en entornos ESXI siguen un patrón calculado: acceso inicial a través de la ingeniería social, la escalada de privilegios para obtener el control administrativo, la implementación de herramientas de monitoreo remoto y, finalmente, la ejecución de ransomware que encripta los directorios principales y hace que las máquinas virtuales sean inoperables.
Investigaciones recientes revelan que la araña dispersa ha ampliado su objetivo para incluir entornos de nubes de copos de nieve, donde puede exfiltrar volúmenes masivos de datos rápidamente ejecutando miles de consultas inmediatamente después del acceso.
También se ha observado que el grupo se infiltra en las plataformas de comunicaciones de la compañía como Slack, los equipos de Microsoft e intercambia en línea para monitorear los esfuerzos de respuesta de seguridad e incluso participar en llamadas de respuesta a incidentes para comprender cómo los equipos de seguridad los buscan.
Para mantener la persistencia y evadir la detección, el grupo crea identidades ficticias respaldadas por perfiles de redes sociales falsos, utiliza redes proxy y con frecuencia gira los nombres de las máquinas. También se ha observado que exfiltran datos a múltiples ubicaciones, incluidos Mega.NZ y centros de datos con sede en EE. UU. Como Amazon S3.
Las agencias de autor recomiendan que las organizaciones implementen la autenticación multifactorial resistente al phishing, mantienen copias de seguridad fuera de línea almacenadas por separado de los sistemas de origen e implementan controles de aplicaciones para administrar la ejecución del software. Las organizaciones también deben mejorar el monitoreo de “inicios de sesión de riesgo” y el mal uso de la cuenta no autorizado.
Con los ataques de Spider dispersos que causan cientos de millones en daños y sus tácticas que continúan evolucionando, el aviso actualizado sirve como un recurso crítico para las organizaciones que buscan defenderse de una de las operaciones cibercriminales más sofisticadas de hoy.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
