El paisaje cibernético fue testigo de una evolución preocupante en 2025, ya que el notorio grupo de amenazas de Libra de Libra cambió drásticamente su metodología de ataque, girando de las campañas tradicionales de phishing a sofisticadas ingeniería social basada en la voz dirigida a los centros de llamadas organizacionales y los escritorios de ayuda.
Este colectivo con sede en Occidente, que comprende principalmente jóvenes cibercriminales de habla inglesa, ha transformado su enfoque operativo para lograr una velocidad e impacto sin precedentes en las infiltraciones corporativas.
El nuevo modus operandi del grupo se centra en explotar las relaciones de confianza fundamentales entre los empleados y el personal de apoyo de TI.
En lugar de confiar en su kit de phishing Oktapus previamente favorecido, los actores confusos de Libra ahora participan en la manipulación humana directa a través de llamadas de voz cuidadosamente orquestadas a los escritorios de ayuda organizacional.
Esta evolución táctica ha demostrado ser devastadoramente efectiva, reduciendo su cronograma de intrusión promedio a solo 1 día, 8 horas y 43 minutos desde el acceso inicial a la contención.
Investigadores de Palo Alto Networks identificado Este cambio estratégico como parte de la evolución más amplia de Libra hacia la máxima interrupción y la rápida monetización.
Los actores de amenaza han demostrado una notable adaptabilidad, pasando de campañas persistentes a largo plazo a operaciones de rayo que logran privilegios de administrador de dominio dentro de aproximadamente 40 minutos de acceso inicial.
Velocidad de la intrusión de Libra confundida desde el acceso inicial al administrador del dominio (fuente – Palo Alto Networks)
Su alcance de orientación se ha expandido significativamente a lo largo de 2025, abarcando entidades gubernamentales de enero a marzo, seguido de ataques concentrados contra sectores de seguros de abril a julio, junto con campañas simultáneas contra las industrias minoristas y de aviación.
Ingeniería social basada en la voz: el nuevo vector de ataque
La piedra angular de las capacidades mejoradas de Libra se encuentra en sus sofisticadas operaciones de phishing (Vishing) basadas en la voz, clasificadas bajo la técnica MITER ATT & CK T1566.004.
El análisis de inteligencia revela que más del 70 por ciento de los números de teléfono utilizados por este grupo en 2025 aprovecharon Google Voice como su servicio de protocolo de voz sobre Internet, proporcionando anonimato y escalabilidad para sus operaciones.
La metodología de ataque sigue un patrón predecible pero efectivo donde los actores de amenaza contactan a los escritorios de ayuda organizacional mientras se hace pasar por empleados legítimos que supuestamente han perdido el acceso a sus dispositivos de autenticación de múltiples factores.
Al explotar la inclinación natural del personal de la mesa de ayuda para brindar asistencia, los atacantes manipulan a estos guardianes para evitar controles de autenticación establecidos y restablecer las credenciales de los usuarios y los métodos de MFA.
Evolución de Tradecraft Muddled Libra (Fuente – Palo Alto Networks)
En escenarios alternativos, los actores invierten la dinámica de la ingeniería social al contactar directamente a las víctimas mientras se disfrazan de personal interno de soporte de TI, convenciendo a los objetivos para instalar software de administración remota que proporciona acceso inmediato al sistema.
Este enfoque centrado en la voz ha permitido a Libra confundido para establecer la persistencia a través de diversas herramientas de monitoreo y gestión remota al tiempo que se dirige a las plataformas de gestión de sistemas existentes y las soluciones de respuesta de detección de puntos finales.
La mentalidad de la primera nube del grupo los impulsa a pivotar inmediatamente hacia Microsoft 365 y los entornos de SharePoint para el reconocimiento interno, que a menudo culminan en las operaciones masivas de exfiltración de datos que exceden los 100 gigabytes de dos días antes de desplegar el ransomware de Dragonforce a través de su asociación con el programa Slipery Scorpius Raas.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
