A mediados de 2025, un nuevo aumento de intrusiones específicas, atribuida al grupo de amenazas conocido de diversas maneras, Octo Tempest, UNC3944, Libra confuso y 0ktapus, comenzó a afectar múltiples industrias.
Inicialmente identificadas por campañas de phishing inusuales basadas en SMS que aprovechan los dominios adversarios en el medio (AITM), estos operadores han refinado su enfoque para combinar ingeniería social sofisticada con una explotación de red sigilosa.
Su objetivo principal sigue siendo una ganancia financiera a través de extorsión o despliegue de ransomware, a menudo después de meses de reconocimiento y recolección de credenciales.
Analistas de Microsoft anotado que estas campañas generalmente comienzan con un mensaje de phishing de lanza cuidadosamente elaborado o suplantación directa de servicio de servicio por teléfono, correo electrónico o plataformas de mensajería.
Una vez que se logra el acceso inicial, las arañas dispersas giran rápidamente hasta el reconocimiento, la enumeración de los atributos de Active Directory y el vertido de credenciales, con frecuencia utilizando herramientas como Mimikatz y Aadinternals.
Al mismo tiempo, los atacantes establecen persistencia a través de puestos de confianza y aprovechan los túneles NGROK o de cincel para mantener las comunicaciones encubiertas con activos comprometidos.
Poco después de estos movimientos iniciales, los investigadores de Microsoft observaron el despliegue de ransomware de DragonForce, con un enfoque distintivo en los entornos de VMware ESX Hypervisor.
Esta elección permite a los actores de amenaza encriptar los almacenes de datos completos, maximizando la interrupción operativa y las demandas de rescate.
Para complicar aún más las defensas, dispersó las tácticas recientes de Spider combinan la explotación en las instalaciones y la explotación de identidad de la nube, atacando a los servidores críticos de Ennect Connect para cruzar los límites del dominio.
Dichos ataques híbridos subrayan la evolución del grupo de asaltos puramente centrados en la nube a intrusiones de espectro completo.
La detección de estas tácticas, técnicas y procedimientos (TTP) se ha asignado a fondo a través del ecosistema XDR del defensor de Microsoft.
Desde alertas de restablecimiento de contraseña inusual en máquinas virtuales (MDC) hasta la detección de intentos DCSYNC (MDI) y operaciones sospechosas de acceso elevado (MDC), los defensores pueden monitorear señales de alta fidelidad a través de puntos finales, identidades y cargas de trabajo en la nube.
Ruta de ataque (Fuente – Microsoft)
Tácticas de persistencia: establecer un punto de apoyo encubierto
Un subtópico crítico en el arsenal de Spider disperso es su uso de las puestas de traseros persistentes de ADF para garantizar el acceso a largo plazo.
Una vez que se obtienen los privilegios administrativos, el grupo implementa scripts personalizados que modifican la base de datos de configuración de ADFS, inyectando ganchos de servicio malicioso.
Estos ganchos se ejecutan automáticamente en la autenticación del usuario, otorgando a los atacantes privilegios elevados sin más indicaciones de credenciales.
Los analistas de Microsoft identificaron el siguiente fragmento de PowerShell dentro de los entornos afectados, utilizados para implantar la puerta trasera:-
Importación-module aadinternals $ cred = get-credencial set-adfsproperties -autocertificAllover $ false add-adfsservicePrincipalName -PrInripal $ cred.username -servicePrimaryRefresheshtoken
Este código deshabilita la renovación del certificado automático para evitar la eliminación inadvertida de la puerta trasera y registra un nombre principal del servicio vinculado a las credenciales controladas por los atacantes.
Al aprovechar las API de ID de ENTRA, el adversario asegura que cualquier evento de autenticación desencadine una elevación silenciosa de los privilegios, evitando efectivamente las verificaciones de autenticación multifactorial.
La vigilancia continua a través de consultas de caza avanzadas para los cambios anómalos de configuración de ADFS permite a los equipos de SOC detectar y remediar estos mecanismos de persistencia antes de que los atacantes puedan explotarlos por completo.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
